Informasjon til øvingsleder

Innledende om scenarioet

De aller fleste organisasjoner håndterer personopplysninger. Det kan for eksempel være informasjon om ansatte og kundelister. Brudd på personvernregelverket kan skje på mange måter, og alle organisasjoner må kunne håndtere brudd på personvernet på en korrekt måte.

Elektronisk behandling av personinformasjon skal bidra til effektive administrative og produksjonsmessige prosesser i organisasjonene. Dessverre medfører også elektronisk behandling av informasjon en risiko for at personinformasjon kan komme på avveie på andre måter enn ved behandling av fysiske dokumenter.

Behandling og lagring av personopplysninger er regulert av personopplysningsloven. Regelverket skal ivareta den enkeltes personopplysninger når de er lagret og under behandling. Personopplysningsloven som nå har blitt oppdatert med det europeiske GDPR-direktivet stiller en rekke krav til sikkerhet og beskyttelse av personopplysninger.

Spørsmål for å drive diskusjonsøvelsen fremover

Spørsmål man kan stille under øvelsen:

  • Har organisasjonens ledelse en overordnet policy, med tilhørende detaljerte rutinebeskrivelser for informasjonssikkerhet for å sikre sine verdier?

  • Har organisasjonen ved anskaffelser av IT-verktøy en anskaffelsesprosess som støtter krav fra egen sikkerhetspolicy, som også inkluderer en prosess for hvordan dette følges opp organisasjonen i ettertid?

  • Er det laget en rutine i organisasjonen for den som oppdager hendelsen, slik at det er kjent hvordan, og til hvem, det skal informeres?

  • Har organisasjonen et personvernombud og er det kjent for de ansatte hvem dette er?

  • Hvordan kan organisasjonen skaffe seg et best mulig bilde av hva som har skjedd, det totale skadeomfanget for organisasjonen og evt. andre involverte parter?

  • Har organisasjonen retningslinjer for når krisestab skal innkalles/settes?

  • Finnes det rutiner for å involvere IT-driftsleverandør (iht. kontrakt)?

  • Finnes det rutiner for å redusere muligheten for ytterligere uønskede hendelser ved å handle raskt eks. i dette tilfelle ta ned server til en har oversikt og installert kontroller til å sikre data.

  • Har organisasjonen en kommunikasjonsplan for bruk ved en krise/alvorlig hendelse, inkl. roller og ansvar og som kan indikere nødvendig kommunikasjon?

  • Hvordan kan organisasjonen forsikre seg om at informasjon som er feilsendt virkelig blir slettet hos mottaker?

  • I og med at dette er brudd på personopplysningssikkerheten, skal det rapporteres til Datatilsynet eller andre instanser? Er organisasjonen kjent med regelverket?

  • Hvem i organisasjonen gjør dette?

  • Hvordan skal dette rapporteres til andre evt. involverte parter, kunder, leverandører eller andre samarbeidspartnere?

  • Er det aktuelt å involvere fagforeninger? Er det informasjon som må/bør gis til fagforeninger?

  • Når er man sikker på at en er tilbake i normalsituasjon?

  • Har driftsleverandøren rutiner for å finne ut hvilke forhold som gikk feil slik at de får lukket det, med rapportering tilbake til organisasjonen.

  • Den uautoriserte tilgangen kan være gitt gjennom å kjenne til bruker ID og passord for en av de ansatte i organisasjonen. Hvordan vil organisasjonen sjekke om dette er årsaken, og hvordan vil det håndteres?

Ved øvelsen er det viktig å se på hva som kunne vært gjort for å unngå denne hendelsen. For å få interne forbedringer er det i dette tilfellet naturlig å spørre:

  • Har organisasjonen utpekt ansvarlig for å sette opp krav og rutiner til sikkerhet og regulatoriske forhold, inkl. ansvar for å opplyse og lære opp ansatte?
  • Har organisasjonen ved utsetting av IT-drift inngått avtaler i forhold til GDPR med leverandører?
  • Er fagforeninger blitt informert og gitt rett til uttalelser og føringer for lagring og behandling av personlig informasjon?
  • Er det gjort risikoanalyser som indikerer behovet for å beskytte data
    • I regi av egen organisasjon
    • I regi/i samarbeid med IT-drifts leverandør
    • I regi av innkjøpsprosessen for utsetting av IT, med tilhørende avtaler
  • Er det gjort analyser spesielt for adgang til organisasjonskritiske data, eks. om det er behov for totrinnsverifisering?
  • Er det innført en god nok rutine for å gi adgang til data, basert på tjenstlig behov og segregering av data?
  • Er det gjort instruks internt for om og når en trenger å stenge ned server for å unngå ytterligere tap? (Dette må være ihht. kontraktklausuler med driftsleverandør.)
  • Har kontraktsmessige klausuler med driftsleverandøren som:
  • Gir driftsleverandøren krav om samme beskyttelse av organisasjonens data som om det ble behandlet i egen organisasjon
  • Gir driftsleverandøren ansvar ved hendelser
  • Gir sanksjonsmuligheter ovenfor driftsleverandøren
  • Har man avtale om overvåkning av logger med IT-driftsleverandør slik at man kan gå tilbake i loggene for å finne ut hva som har skjedd?
  • Har driftsleverandøren interne prosesser for å teste datainnbrudd, og er dette innbakt i kontraktklausul?