Informasjonssikkerhet

18.2 Nasjonale og internasjonale rammer for lovgivningen

18.2.1 Informasjonssikkerhet

Informasjonssikkerhet er regulert i personopplysningsloven § 13, hvor det i første ledd står:

«Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger».

Ytterligere regler er fastsatt i bestemmelsen, herunder kravet til dokumentasjon.

Bestemmelsene er utdypet i personopplysningsforskriften kapittel 2. Bestemmelsene er bygget på ISO standard NS-ISO/IEC 17799, som igjen bygger på BS 7799.

I personverndirektivet artikkel 17 nr. 1 står det at

«den behandlingsansvarlige skal iverksette hensiktsmessige tekniske og organisatoriske tiltak for å beskytte personopplysninger mot tilfeldig eller ulovlig ødeleggelse, mot tilfeldig tap, mot ikke-autorisert endring, spredning eller tilgang, særlig når behandlingen omfatter overføring av opplysninger i et nett, samt mot enhver annen form for ulovlige behandling. Disse tiltakene skal, idet det tas hensyn til nåværende utviklingstrinn i teknikken og kostnadene ved iverksettingen, sørge for et tilstrekkelig sikkerhetsnivå i forhold til de farer behandlingen innebærer, og arten av opplysninger som skal beskyttes».

18.2.2 Internkontroll

Internkontroll er regulert i personopplysningsloven § 14, hvor det i første ledd står:

«Den behandlingsansvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet».

Ytterligere bestemmelser følger av § 14.

Reglene er ytterligere spesifisert i personopplysningsforskriften kap. 3.

Personverndirektivet har visse spredte bestemmelser som pålegger den behandlingsansvarlige å sørge for at regler overholdes. Slike bestemmelser finnes blant annet i artikkel 6 nr. 2 om opplysningenes kvalitet, og artikkel 19 nr. 2 jf. artikkel 21 nr. 3 om krav til behandlinger som ikke er underlagt meldeplikt.

18.2.3 Annet regelverk

Det er også et par andre regelverk som kan nevnes i denne sammenheng. Beskyttelsesinstruksen 17. mars 1972 nr. 3352 kommer til anvendelse ved behandling av dokumenter som trenger beskyttelse av andre grunner enn de som er nevnt i sikkerhetsloven med forskrifter. Noen av politiets dokumenter kan således falle inn under instruksen. Det samme gjelder for sikkerhetsloven 20. mars 1998 nr. 10 med forskrifter.

18.3 Internkontroll

18.3.1 Kravet til internkontroll

Årsaken til at personopplysningsloven fikk regler om internkontroll var delvis at det var et viktig virkemiddel for å bevisstgjøre den behandlingsansvarlige og sikre at de plikter loven påla ble overholdt, og delvis skulle reglene forenkle Datatilsynets tilsyn.

Utvalget mener at de samme hensyn gjør seg gjeldende ved politiets behandling av opplysninger. Behandling som skjer innenfor politiet og påtalemyndigheten er svært omfattende, opplysningene er sensitive og det er mange som har tilgang til opplysningene. Kravet til internkontroll blir meget viktig.

Utvalget anbefaler at det stilles krav om at internkontroll både foretas og at tiltakene kan dokumenteres. Kravet om dokumentasjon vil bidra til å forenkle tilsynsorganets oppgaver, og er også nedfelt i personopplysningsloven.

18.3.2 Utformingen av krav til internkontroll i lov og forskrift

Det er ønskelig at lovreguleringen om internkontroll er identisk innenfor ulike sektorer. Årsaken er at loven kun fastsetter de generelle normene, og at de konkrete reglene må spesifiseres innenfor hvert enkelt felt. Utvalget foreslår således at bestemmelsen i politiregisterloven er tilsvarende den i personopplysningsloven § 14.

Den generelle bestemmelsen i politiregisterloven må utfylles med nærmere regler om internkontroll i politiet. I personopplysningsforskriften er det gitt ytterligere bestemmelser i kap. 3. For politiets del anbefaler utvalget at kravene til internkontroll spesifiseres ytterligere i forskrift. Om mulig, kan kravene være enda mer spesifikke enn i personopplysningsforskriften, siden det her kun er en sektor som reguleres, nemlig politi og påtalemyndighet. Med det er ikke bare opp til forskriftsmyndigheten å bestemme hvorledes internkontrollen skal gjennomføres. I prinsippet er det organet selv, altså politiet og påtalemyndigheten, som er ansvarlig for å gjennomføre og dokumentere internkontrollen. Uansett må det anses naturlig at en del rutiner lages sentralt i politiet, slik at ikke hvert enkelt distrikt eller særorgan må lage egne rutiner.

18.4 Informasjonssikkerhet

18.4.1 Kravet til informasjonssikkerhet

Informasjonssikkerhet dreier seg som nevnt innledningsvis om tekniske og organisatoriske tiltak for å fremme en tilfredsstillende beskyttelse av opplysninger med hensyn til konfidensialitet, integritet og tilgjengelighet. Det er flere årsaker til at politiets behandling av personopplysninger må anses som en behandling med særlige sikkerhetsbehov. For det første behandles en rekke sensitive opplysninger i politiets systemer. For det andre vil det være mange som urettmessig ønsker å få tilgang til politiets systemer. Dette forsterkes ytterligere av at politiets «kunder» ikke er ukjente med å begå ulovlige handlinger for å oppnå det de ønsker. For det tredje er det svært mange som har tilgang til opplysninger i politiet, slik at den «interne trusselen» øker, i den forstand at faren øker for både hendelige uhell og uaktsomme og forsettlige overtredelser av regelverket.

Det er nedfelt krav til informasjonssikkerhet i personopplysningsloven. Bestemmelsen er generell, og fylles ut av personopplysningsforskriften kap. 2. Utvalget foreslår at samme regler skal komme til anvendelse på politiets behandling av opplysninger. Det er en målsetting at lovbestemmelsene for informasjonssikkerhet skal være lik innenfor de ulike sektorer, slik at det kan fastsettes konkrete utfyllende bestemmelser i forskrift innenfor hver sektor. I Ot.prp. nr. 92 (1998-99) Om lov om behandling av personopplysninger (personopplysningsloven) s. 114 andre spalte beskrives dette på følgende måte:

«Det er ikke mulig å på forhånd oppstille uttømmende krav til hvor høy sikkerheten skal være for ulike typer behandlinger. Loven angir derfor sikkerhetsstandarder i form av krav til konfidensialitet, integritet og tilgjengelighet. Hva som skal til for at en konkret personopplysningsbehandling oppfyller disse kravene, avhenger særlig av hvilke trusler personopplysningene er utsatt for. Betydelige trusler vil typisk kreve strenge sikkerhetstiltak før kravene til konfidensialitet, integritet og tilgjengelighet er oppfylt».

Bestemmelsene som er nedfelt i personopplysningsforskriften kap. 2 må være minstekrav som stilles til politiets og påtalemyndighetens informasjonssikkerhet. Det kan imidlertid oppstilles ytterligere krav, eller kravene kan spesifiseres ytterligere i forskrift. Avvik fra personopplysningsforskriften må ha en særlig begrunnelse. Utvalget har ikke gått inn på innholdet i forskriftene, da dette er et omfattende arbeid som krever høy teknisk kompetanse. Det er imidlertid en forutsetning fra utvalgets side at det utarbeides forskrifter som skal utfylle de generelle reglene i politiregisterloven, jf. kapittel 24.

18.4.2 Plikter som påligger den behandlingsansvarlige

Selv om de mer spesifikke kravene til informasjonssikkerhet skal fastsettes i forskrift, vil utvalget gi en kort skisse av hvilke krav som følger av de alminnelige reglene, og som må være minstekrav til politiets behandling av opplysninger.

Selv om det er fastsatte regler i forskrifts form, vil det gjenstå et stort arbeid for politiet og den behandlingsansvarlige. Det er i utgangspunktet den behandlingsansvarlige som er ansvarlig for at sikkerhetskravene er oppfylt, men for politi og påtalemyndighet må det også tas hensyn til organisasjonsoppbygning. Det vil således være naturlig at overordnede organer og særorganer har sentrale roller i dette arbeidet, og det samme gjelder Politiets Datatjeneste. Det kan i denne sammenheng nevnes at Politiets Datatjeneste allerede har utarbeidet en handlingsplan for IT-sikkerhet 2000-2004.

Å gjennomføre kravene til informasjonssikkerhet og internkontroll er et omfattende arbeid, men utvalget mener dette er absolutt nødvendig. Det må utarbeides en rekke overordnede styringsdokumenter. Det må fastsettes sikkerhetsmål, som omfatter beslutning om til hva og hvordan informasjonsteknologien skal benyttes i virksomheten. For eksempel må det tas stilling til om opplysningene skal behandles elektronisk eller ikke. På bakgrunn av dette må virksomheten utarbeide en sikkerhetsstrategi. Strategien vil omfatte grunnleggende beslutning om organisering og gjennomføring av sikkerhetsarbeid. For eksempel kan strategien gå ut på at det skal iverksettes sikkerhetstiltak slik at personer utenfor organisasjonen ikke får tilgang til opplysningene i systemet.

Videre skal det foretas en risikovurdering. Risikovurderingen er et eget dokument. For det første må det kartlegges hva slags behandling som foregår, og hvilke typer opplysninger som behandles. Videre må det fastsettes en akseptabel risiko for virksomheten som sådan. Her er det sannsynligheten for brudd og konsekvensen av brudd som er det sentrale. Sannsynligheten refererer seg både til eksterne og interne brudd, og de hendelige uhell, uaktsomhet og de forsettlige overtredelser. Konsekvensene refererer seg både til liv og helse, økonomi og integritet. Det må kartlegges den risiko behandlingen av opplysninger innebærer i forhold til kravene til konfidensialitet, tilgjengelighet og integritet. Kravet til konfidensialitet skal sikre at informasjonen ikke blir gjort tilgjengelig for uvedkommende. Kravet til integritet skal sikre at personopplysninger ikke endres utilsiktet eller av uvedkommende. Kravet til tilgjengelighet skal sikre at personopplysningene er tilgjengelige for rettmessige brukere når de har behov for det.

Hvis det som eksempel tas utgangspunkt i en sikkerhetsstrategi der personer utenfor organisasjonen ikke får tilgang til opplysningene i systemet, må det i risikovurderingen tas stilling til hvor sannsynlig dette er og i så fall hva som er konsekvensen. Hvis sannsynligheten er høy og konsekvensene fatale, må det iverksettes tiltak for å motvirke slike sikkerhetsbrudd. Vurderingen må gjøres for både fysisk sikring og logisk sikring. Det må tas stilling til hvorledes adgangskort/ID skal benyttes og om politiets opplysninger bør ligge på et skjermet nettverk. Politiet må for å komme innenfor akseptabelt risikonivå iverksette løsninger. Tilfredsstillende informasjonssikkerhet forutsetter etablering av både organisatoriske og tekniske sikkerhetstiltak.

18.5 Sporbarhet i informasjonssystemer

18.5.1 Krav om sporbarhet

Utvalget har vurdert om det skal pålegges at systemene politiet benytter skal være sporbare. Med dette menes at det i ettertid kan konstateres hva som er gjort i et dataanlegg/informasjonssystem, herunder hvem som har fått tilgang til opplysningene.

Utvalget anbefaler at politiets informasjonssystemer, som da omfatter all elektroniske behandling av opplysninger, skal være sporbare. Dette vil i prinsippet være et kontrollerende tiltak i forhold til at reglene i politiregisterloven overholdes. I flere straffesaker har det vært problemer med lekkasjer, trolig fra politiet, og det har vist seg at kravet til tjenestelig behov for å innhente opplysninger ikke alltid respekteres. Politiregisterloven legger i utgangspunktet opp til forholdsvis stor frihet for politiet, og det er nødvendig å kunne kontrollere at reglene blir overhold. Det er dette som ligger i krav til «sporbarhet». Hvorledes dette skal gjøres, vil variere fra behandling til behandling, og sannsynligvis endre seg i takt med den teknologiske utviklingen.

Det anbefales at sporbarhet kombineres med rutiner som raskt avdekker uautorisert bruk, og at korrigerende tiltak iverksettes.

18.5.2 Bruk av opplysningene

Utvalget har sett nærmere på hva sporene i informasjonssystemene kan brukes til. Formålet med innsamlingen er å kunne kontrollere at reglene i politiregisterloven overholdes, og kunne reagere på uautorisert bruk. Det vil også være mulig å se hvilken autorisert bruk som har skjedd.

Utvalget anbefaler at opplysningene blant annet kan benyttes til kontroll av de ansatte i politiet, da dette synes å være nødvendig for at regelverket skal kunne overholdes på en hensiktsmessig måte. Det er en forutsetning for de andre reglene utvalget anbefaler at det skal være mulig å kontrollere hvem som internt har begått et sikkerhetsbrudd. En slik kontroll anses imidlertid som så inngripende overfor de ansatte, at utvalget har valgt å foreslå prinsippet lovfestet. Hvilken betydning et eventuelt brudd på regler i politiregisterloven skal få, vil bero på alminnelige arbeidsrettslige regler.

Videre må opplysningene kunne benyttes til å administrere systemet, og avdekke og oppklare brudd på sikkerheten i edb-systemet. Det siste gjelder uavhengig av om det er en ansatt som er i søkelyset. For eksempel vil det være mulig å benytte loggene til å anmelde brudd eller forsøk på brudd på sikkerhetsrutiner i systemene.

Utvalget har drøftet hvor lenge opplysningene skal kunne oppbevares. Utvalget foreslår at opplysningene oppbevares i minst 3 måneder. Det foreslås ingen lengste lagringstid, men opplysningene kan ikke oppbevares lenger enn det er saklig behov for. Nærmere regler om lagringslengde bør gis i forskrift.

18.6 PST og graderte dokumenter

De fleste dokumenter og opplysninger PST behandler vil være graderte. For gradert informasjon gjelder særlige sikkerhetskrav i henhold til sikkerhetsloven 20. mars 1998 nr. 3 med forskrifter. Dette vil også gjelde for det alminnelige politi i den grad de behandler gradert informasjon. Utvalget legger til grunn at loven dekker sikkerhetsbehovene i disse sammenhenger.

18.7 Utlevering av opplysninger

Personopplysningsloven stiller normalt som krav at den opplysningene utleveres til skal ha samme sikkerhetsnivå som den som opplysningene utleveres fra. Siden reglene om taushetsplikt og personvern er forent i ett regelverk, vil det være taushetspliktsreglene som er de sentrale pliktene for mottakeren. Disse reglene er nærmere beskrevet i punkt 14.15. Utvalget anbefaler således ikke at det oppstilles egne bestemmelser ut over det som følger av taushetspliktsreglene ved utlevering av opplysninger med henblikk på sikkerhet.

18.8 Felles persondatabase

18.8.1 Innledning - begrepet persondatabase

Flere politiorganer, og særlig Kripos, har ytret ønske om en felles persondatabase. Årsaken har vært at det er en rekke feilregistreringer i politiets registre, og tidligere var det kostbart for politiet å slå opp i FREG (se punkt 4.4).

Med felles persondatabase forstås et eget system hvor alle navn, adresser, fødselsnummer med videre er lagret. I persondatabasen kan politiet ha, eller ikke ha, søkeadgang i systemet. Ved direkte søkeadgang vil politiet ved søk på et navn få opp alle registre hos politiet der personen er registrert. Dette kan gjelde alle politiets registre eller det kan avgrenses, for eksempel til ikke å gjelde forvaltningsregistrene. Dersom politiet ikke har direkte søkeadgang i persondatabasen, går politiet inn via det enkelte register eller system, som igjen henter navn, adresse med videre fra persondatabasen. Det kan for eksempel være mulig ved at registeret eller systemet kobler seg til persondatabasen ved en form for nøkkel, som så henter ut personopplysningene.

18.8.2 Utvalgets vurderinger

Siden persondatabase er et aktuelt tema, har utvalget vurdert om det bør finnes en felles persondatabase. Uavhengig av hvilke av de to modellene som drøftes, vil en felles persondatabase ha flere fordeler. Ved endring i opplysninger om adresse, navn med videre, vil det kun være persondatabasen det er nødvendig å oppdatere. Videre har felles persondatabase en side mot den registrertes rettssikkerhet, ved at den kan sikre at det er rett person som registreres. Dette er også en sikkerhet for politiet i deres arbeid. I tillegg vil politiet spare tid ved at det ikke er nødvendig å gjøre oppdatering i flere registre eller systemer når en person skifter adresse.

Utvalget mener imidlertid at det går et skille mellom de to modellene. Utvalget anbefaler ikke at det ved søk i ett system skal være mulig å få treff på alle registreringer av en person. Dette vil i mange situasjoner være et brudd på taushetsplikten, hvor forutsetningene for å få tilgang til opplysningene er at man har tjenestelig behov.