Denne artikkel er et hjelpedokument for advokatfirmaer som skal utarbeide og kontrollere sin strategi og dokumentasjon for informasjonssikkerhet for bruk av personopplysninger. Dokumentet er skrevet av Eva Jarbekk.
Advokater er underlagt personopplysningslovens bestemmelser som bl.a. omfatter plikt til å utarbeide et internkontrollsystem for å sikre at personopplysningslovens bestemmelser overholdes.
Dette er nærmere beskrevet på Advokatforeningens sider i artikkelen Advokaters plikter etter personopplysningsloven. De mer overordnede spørsmål om definisjon av personopplysninger, meldeplikt til Datatilsynet og hvilke hjemler som kan brukes for behandling av personopplysninger, omtales der.
Se også artikkelen Sjekkliste for utarbeidelse av internkontroll om hvordan et internkontrollsystem kan settes opp. For en beskrivelse av hvordan e-post skal behandles, viser vi til punktet Advokaters kommunikasjon av e-post i artikkelen Sammenfatning av de vanligste brudd på personopplysningsloven.
I denne artikkelen gjøres nærmere rede for ett spesielt aspekt ved internkontrollsystemet; nemlig behandlingen av informasjonssikkerhet og hvilke problemstillinger advokater ofte må ta særlig stilling til.
Det er personopplysningsloven § 13 som er den sentrale bestemmelse for håndtering av informasjonssikkerhet. Bestemmelsen lyder (med våre uthevinger):
”Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. ”
I tillegg kommer reglene i kapittel 2 i personopplysningsforskriften (POF) som danner et rettslig rammeverk for advokaters informasjonssikkerhet.
Informasjonssikkerheten angår opplysninger om kunder og klienter, men man skal ikke glemme at reglene også har betydning for behandling av ansatte i et advokatfirma. Regelverket skal være oppfylt før behandlingen av personopplysninger igangsettes.
I arbeid med informasjonssikkerhet er det tre sentrale begreper og hensyn. Disse er også omtalt andre steder på våre nettsider, men gjentas likevel her fordi det er sentralt for å forstå hvilke sikkerhetstiltak som må fattes. De sentrale hensynene er:
1. Konfidensialitet
2. Integritet
3. Tilgjengelighet
I begrepet konfidensialitet ligger at opplysninger ikke er tilgjengelige for uvedkommende. I begrepet integritet ligger at innholdet i dokumenter ikke kan endres tilfeldig eller utilsiktet. I begrepet tilgjengelighet ligger at dokumentene nettopp skal være tilgjengelige, tilstrekkelige og relevante, når de skal brukes. Når man som advokat vurderer sine rutiner for forvaltning av opplysninger, er det disse hensynene man må ha fokus på.
Internkontrollsystemer kan legges opp på mange måter og i POF § 2-1 gjelder et forholdsmessighetsprinsipp som innebærer at store og små virksomheter ikke må ha like omfattende dokumentasjon. POF § 2-1 lyder (med våre uthevinger):
Ӥ2-1 Forholdsmessige krav om sikring av personopplysninger
Reglene i dette kapittelet gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjengelighet og integritet for opplysningene. ”
De elementene som er uthevet er momenter som er sentrale i den risikovurderingen som skal foretas. Generelt kan man si at jo større faren er for skade ved et eventuelt sikkerhetsbrudd, jo bedre sikkerhetstiltak må fattes rundt personopplysningen.
Som det fremgår ovenfor, handler informasjonssikkerhet bl.a.om diskresjon. Dette er en viktig verdi for advokater. Det er en verdi advokater har med seg fra tidligere gjennom reglene om taushetsplikt.
På mange måter er moderne informasjonssikkerhet det å ivareta de samme hensynene i forhold til advokaters bruk av moderne teknologi og kommunikasjonsmidler. Moderne informasjonsteknologi har gitt nye utfordringer som må håndteres.
Det er en trend i samfunnet at det elektronisk kommunikasjon beskyttes stadig bedre. Eksempelvis har mange konsulentselskaper avanserte og krypterbare løsninger for deling av dokumenter, e-post og annen kommunikasjon med sine kunder. Advokater må holde seg oppdatert på de samme områdene.
Det er ledelsen i det enkelte advokatfirma som er ansvarlig for informasjonssikkerheten. Formelt sett vil dette ofte innebære at det er partnerskapet som har ansvaret, selv om praktiske spørsmål ofte vil bli delegert videre i organisasjonen. Meldingen til Datatilsynet om hvem som er behandlingsansvarlig må korrespondere med de interne retningslinjene om hvem som er behandlingsansvarlig.
Der flere advokater opererer i kontorfellesskap vil hver enkelt advokat måtte ta ansvar for sin egen praksis.
Her nevnes også at internkontrolldokumentasjonen skal oppbevares i 5 år etter at dokumentasjonen erstattes med en ny utgave.
Reglene om informasjonssikkerhet stiller krav til hvordan personopplysninger skal behandles internt i virksomheten, men reglene gjelder også dersom man har ekstern hjelp med sine IKT-systemer. For eksempel vil man måtte ta inn bestemmelser om informasjonssikkerhet i en avtale om outsourcing av IKT-drift. Dette gjøres ofte gjennom en såkalt databehandlerklausul.
Databehandlerklausuler kan utformes på mange måter, under er ett eksempel.
” Firma A plikter å gjennomføre sikringstiltak i henhold til personopplysningsloven § 13 og § 15 om informasjonssikkerhet. Dette omfatter bl.a. at Firma A skal sørge før å ivareta konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.
Den fremgangsmåte, herunder risikovurdering, organisatoriske tiltak og tekniske sikkerhetstiltak som gjennomføres av Firma A, skal være dokumentert og tilgjengelig slik personopplysningsloven foreskriver. Personopplysningene skal kun behandles i forbindelse med oppfyllelse av denne Avtale med Advokatfirma B.”
En slik bestemmelse kan utvides med bl.a. regler om revisjon og eventuelle sanksjoner ved avvik. Det bemerkes at fravær av databehandlerklausul er straffesanksjonert.
Internkontrolldokumentasjonen skal inneholde flere momenter. Se nærmere om inndelingen i styrende, gjennomførende og kontrollerende informasjon slik dette er nærmere beskrevet i artikkelen Sjekkliste for utarbeidelse av internkontroll [link].
Internkontrolldokumentasjonen skal bl.a. inneholde en beskrivelse av virksomhetens faktiske informasjonssystem. Dette innebærer at man må beskrive hvilke lagringsenheter bedriften benytter. Eksempler på dette kan være datamaskiner, ulike servere, mobiltelefoner, minnepinner, PDA’er, kopimaskiner, telefakser osv.
Denne beskrivelsen må også inneholde en oversikt over hvilke kommunikasjonskanaler virksomheten benytter. Typisk vil dette være e-post, telefaks, MSN, Facebook og lignende.
Dersom virksomheten i noen tilfeller ikke tillater elektronisk kommunikasjon bør dette også angis.
Beskrivelsen må også omfatte hvilke datamaskinprogrammer som er i bruk. Dette gjelder hvilke programmer som benyttes i daglig advokatvirksomhet, som regel Word, Excel, Power Point og time- og faktureringsprogram. I tillegg har de fleste en internett-leser og et program for å håndtere e-post. Mange har også egne dokumenthåndteringsprogrammer. I tillegg gjelder alle programmer som sørger for sikkerhet, så som programmer for brannmur og mot virus.
Ved å dokumentere hvordan informasjonssystemet faktisk er bygget opp får virksomheten anledning til å reflektere over om det er forhold som burde vært strukturert annerledes.
Når man beskriver sitt informasjonssystem er det viktig å huske at dette vil endre seg over tid.
I dag synkroniserer svært mange advokater sin mobiltelefon med kalenderen i Outlook. Dette var ikke like vanlig for bare få år siden. En slik synkronisering innebærer at mobiltelefonen inneholder en full møteplan med angivelse av møteparter og ofte også agendaer for det enkelte møte. Mange synkroniserer også sin e-post med mobiltelefonen. I slike tilfeller vil mobiltelefonen kunne inneholde svært detaljert klientinformasjon. Dette må man ta hensyn til når man velger mobiltelefon; det er en lagringsenhet som ofte befinner seg utenfor kontoret og den er lett å miste eller den kan bli stjålet. Dette åpner for at klientinformasjon kan komme på avveie.
Dersom man synkroniserer mobiltelefonen er man derfor nødt til å beskytte informasjonen som er lagret på den. For de fleste gjøres dette ved å ha mobiltelefoner som kan ”fjernslettes”. Å fjernslette en mobiltelefon innebærer at innholdet på telefonen kan slettes ved at det sendes en slette-kommando til den. Slike muligheter betinger installasjon av bestemt programvare og installasjonen må gjøres før behovet plutselig oppstår.
I dag har det også blitt vanlig å bruke minnepinner til oppbevaring av store mengder data. Mange advokater har alltid med seg en minnepinne i dokumentmappen som de bruker daglig. Slike minnepinner representerer en stor sikkerhetsrisiko fordi de, på samme måte som mobiltelefoner, ofte brukes utenfor kontoret og de er lette å glemme og miste.
Når klientinformasjon lagres på minnepinner, bør minnepinnen være kryptert. Dersom en advokat mister en ukryptert minnepinne med den konsekvens at klientinformasjon kommer uvedkommende i hende slik at klienten lider tap, vil advokaten antakelig kunne holdes økonomisk ansvarlig.
Krypterte minnepinner finnes i mange varianter, i dag hovedsakelig tilgjenglig i de store nettbutikkene. De koster ikke stort mer enn en ukryptert minnepinne.
Det at vår bruk av informasjonssystemet endres over tid, viser hvor viktig det er at man ser på informasjonssikkerheten med jevne mellomrom. Internkontrolldokumentasjonen skal bl.a. derfor inneholde bestemmelser om at strategien for informasjonssikkerhet revideres med jevne mellomrom.
Når tidspunktet for slik revisjon av informasjonssikkerheten fastsettes, bør dette legges til et tidspunkt når det ikke er maksimal belastning på advokatkontoret; eksempelvis kan tidlig i august være et godt tidspunkt.
Internkontrolldokumentasjonen skal angi hvilke sikkerhetsmål man setter seg. Sikkerhetsmålene må som et minimum være at personopplysningslovens bestemmelser ivaretas.
Videre skal internkontrolldokumentasjonen inneholde en skriftlig (eventuelt elektronisk) risikovurdering og hvilken strategi som skal følges for å oppnå målene. Risikovurderingen må baseres på hvilke typer personopplysninger virksomheten behandler. Derfor bør dokumentasjonen inneholde en oversikt over dette. Risikovurderingen må ta hensyn til personopplysningenes karakter og det skadepotensialet som finnes hvis kravene til konfidensialitet, integritet, tilgjengelighet ikke tilfredstilles.
Her må man huske på at advokater ofte behandler sensitive personopplysninger, noe som stiller strenge krav til informasjonssikkerheten.
Risikovurderingen trenger ikke være omfattende, men den skal være et konkret uttrykk for hvordan vurderingen er foretatt i den enkelte advokatbedrift. Under angis et eksempel på en risikovurdering.
”Dersom opplysninger skulle komme på avveie antas dette å kunne virke integritetskrenkende på den opplysningene gjelder, noe avhengig av hvilke opplysninger dette gjelder.
Risikoen for at opplysninger skulle komme på avveie vurderes som relativt liten gitt at de etablerte sikkerhetsinstrukser følges og at andre tekniske og fysiske sikkerhetsbarrierer fungerer som forutsatt.
Det vil, som alltid, være viktig at ansatte og andre som bruker systemene følger de instrukser som gis, da brudd på dette kan resultere i at opplysninger kommer på avveie.”
I de fleste virksomheter vil det fra tid til annen skje avvik fra de fastsatte retningslinjer. Internkontrollsystemet skal derfor ha rutiner for behandling av avvik. Det er et krav at avviksbehandling dokumenteres.
Avviksbehandlingen består oftest i at man fyller ut et skjema der avviket beskrives. Avviksbehandlingen skal ha som formål å gjenopprette normal tilstand, gjerne årsaken til avviket og hindre gjentagelse. Det er derfor aktuelt å angi hvem som skal besørge dette, og innenfor hvilken tidsfrist.
Merk at dersom avviket har resultert i uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, så skal Datatilsynet varsles.
Konkrete momenter som ofte er relevante for advokatvirksomheter å dokumentere i sitt internkontrollsystem for behandling av personopplysninger
Under gis en liste over ulike spørsmål som erfaringsvis er relevante for advokatvirksomheter. De ulike advokatvirksomheter vil ha forskjellige svar på spørsmålene under og det angis derfor ingen generelle løsninger her. Poenget er at den enkelte virksomhet må ta stilling til sin egen situasjon. Spørsmålene er ikke tenkt besvart med et enkelt ja/nei, men slik at virksomheten beskriver situasjonen for å få en fullstendig dokumentasjon.
Mange advokatvirksomheter vil enkelt kunne henføre mange elementer til ”Beskrivelse av eksisterende informasjonssystem”. For øvrige advokatvirksomheter er spørsmålene ment som en huskeliste over problemstillinger det kan være hensiktsmessig å gå gjennom og som det kanskje må arbeides med for å få en tilfredsstillende løsning.
Det tas forbehold for at listen kan være ufullstendig og at relevante momenter vil endres over tid.
Beskrivelse av eksisterende informasjonssystem
- Hvilke lagringsenheter finnes i virksomheten? Hvor brukes utstyret?
- Hvilke kommunikasjonskanaler finnes og brukes i virksomheten?
- Hvilken programvare finnes i virksomheten?
Spørsmål om fysisk sikkerhet
- Er det hindre mot uønsket og uautorisert innsyn i kontorlokalene?
- Finnes tilstrekkelig alarmsystem? Rutiner?
- Ligger møterom slik at besøkende ikke ser uvedkommende dokumenter? (Håndteres dette på annen måte, eksempelvis ved at besøkende følges gjennom lokalene?)
- Er kontorlokalene forsvarlig sikret fysisk med gode låser?
- Er rommet der servere står kun tilgjengelig for relevant personell?
- Er det tiltak mot brann og/eller vannskade – og finnes det reserveløsning ved brann eller vannskade?
- Finnes reserveløsning ved strømavbrudd?
Spørsmål om programvare
- Finnes brannmur ved Internett? Hvilken?
- Finnes viruskontrollsystemer? Hvilke?
Spørsmål om tilgangskontroll
- Hvilke brukere tillater IKT-systemet og hvilke tilgangsrettigheter har de?
- Er det mulig å opprette særlig begrenset adgang til klientinformasjon i særlige tilfeller?
- Hvilke brukssoner er opprettet?
- Er det opprettet adekvate grenser i IKT-systemet for hvem som skal ha tilgang til hva? (For eksempel bør ikke administrasjon ha tilgang til saksopplysninger)
- Hvis man tilbyr hjemme-pc; hvordan håndteres sikkerheten og tilgangen på disse?
- Ved eventuelle trådløse nett på kontoret, er de åpne eller sikret?
- Er eksterne tilganger til datasystemet sikret, evt. ved VPN?
- Hvilken bruk av Internett og nettsamfunn (Facebook, Nettby, Twitter) tillates?
- Tillates det å koble på eksterne enheter (fremmede minnepinne, ipod, mobiltelefon) på internt system? (Finnes mulighet for å virussjekke slik enhet før påkobling?)
- Hvis kunde gis tilgang til trådløst nett, kan de komme inn på andre filer?
- Er minnepinner som brukes utenfor kontoret kryptert?
- Er bærbare datamaskiner tilstrekkelig sikret?
Spørsmål om back-up
Spørsmål om passord
- Er passordene tilstrekkelige, både på kontor, bærbare datamaskiner og hjemme? (Passord må byttes ut med jevne mellomrom og skal helst inneholde 8 bokstaver/tall eller flere. Det er ikke et formelt krav om 8 eller flere bokstaver/tall, men kortere passord kan svært enkelt knekkes ved hjelp av lett tilgjengelig programvare)
Spørsmål om e-post
Spørsmål om synkronisering
- Tillates synkronisering av mobiltelefoner med kalender og e-post?
- Hvis ja: Kan synkroniserte mobiltelefoner fjernslettes?
Spørsmål om avhending av gammelt IKT-utstyr
-
Hvordan behandles gamle elektroniske komponenter når de avhendes?
-
Slettes harddiskene?
-
Merk at de aller fleste kopimaskiner og telefakser har en harddisk som inneholder en kopi av de dokumenter som er kopiert på maskinen. Denne harddisken må slettes før maskinen overtas av andre.
-
I leasingavtaler og lignende med leverandører av slikt utstyr skal det være en databehandlerklausul.
Særlig om forhold til ansatte
- Finnes retningslinjer for de ansatte om hvordan de skal benytte informasjonssystemet?
- Finnes retningslinjer for hvordan informasjon og e-post skal behandles etter at ansatte slutter?