Personvern og sikkerhet
Sist oppdatert: 13.09.2022
Personopplysninger og behandling av data
Behandling av personopplysninger
Behandleroversikt for intranett
Informasjonsklasser og sikkerhetsnivå
Personopplysninger og behandling av data
I 2018 kom ny personopplysningslov som gjør EUs personvernforordning (GDPR) til norsk lov. Det stilles strenge krav til behandling av personopplysninger. Personopplysninger er informasjon som direkte eller indirekte kan kobles til en enkeltperson.
Eksempler
- informasjon om fagpersoner som er kontaktpersoner for artikkelsider som har gitt samtykke
- navneliste for eksempel over fagforeninger og hovedtillitsvalgte som har gitt samtykke
- nyhetssaker der personer som omtales har gitt samtykke til å bli med.
Noen eksempler på personopplysninger kan være
- navn
- adresse
- telefonnummer
- ansattnummer
- e-postadresse
- fødselsnummer
- bilder
Eksempler på sensitive personopplysninger
- opplysninger om rasemessig eller etnisk opprinnelse
- opplysninger om politisk oppfatning
- opplysninger om religion
- opplysninger om filosofisk overbevisning
- opplysninger om fagforeningsmedlemskap
- genetiske opplysninger
- biometriske opplysninger med det formål å entydig identifisere noen
- helseopplysninger
- opplysninger om seksuell legning
- opplysninger om straffedommer
- opplysninger om lovovertredelser
(Kilde: Datatilsynet)
Behandling av personopplysninger
Regelverket stiller strenge krav til hvordan vi behandler personopplysninger generelt. Med behandling menes hva vi gjør med personopplysningene. Behandling av personopplysninger kan være
- innsamling og registrering
- organisering, strukturering og lagring
- tilpassing og endring
- gjenopphenting og oppslag
- bruk og deling
- sammenstilling og kombinering
- begrensning, sletting og destruering
(Kilde: E-læring informasjonssikkerhet – Oslo kommune)
Eksempler
- liste over etasajeansvarlige ved brannalarm
- tilbakemeldingsfunksjonen for "Fant du det du lette etter?" er anonymisert av hensyn til GDPR, da disse opplysningene behandles i Google Analytics.
- brukerundersøkelser der 3. partsprogrammer som Hotjar,Questback, nyhetsbrev,o.l. er i bruk må settes opp med hensyn til GDPR.
- brukere som har satt seg som abonnenter i én spesifikk nyhetskategori kan ikke flyttes over til en annen.
Behandleroversikt for intranett
Behandleroversikt er en oversikt over standardfunksjonalitet på alle intranettsteder. Den beskriver blant annet:
- hvilken data som behandles
- behandlingsgrunnlag
- formål
Behandleroversikten er en liste over databehandlere for både Felles intranett og de lokale intranettene. Eksempel på en databehandler er Google Analytics.
Virksomhetenes redaktører er selv ansvarlig for behandleroversikt på sine lokale intranett. Systemeiers sentrale behandleroversikt dekker ikke eventuelle lokale prosjekter. På Datatilsynet leser du mer
Hva betyr dette for ditt lokale intranett?
GDPR gjør det klart at du ikke kan lage lister over personer uten å innhente samtykke. Skriftlig samtykke kan innhentes f.eks. via e-post.
Informasjonsklasser og sikkerhetsnivå
Det er viktig å forstå sikkerhetsnivået og hvordan det fungerer på ditt lokale intranett som nettredaktør. Innhold som publiseres på intranettet klassifiseres som "internt" og skal ikke omfatte taushetsbelagt eller sensitiv informasjon.
Påloggingen til intranettet er en autentisering som bekrefter at brukeren er ansatt i Oslo kommune. Ansatte får tilgang til informasjon publisert på intranettet, ikke til filområder eller andre interne systemer i kommunen. Siden det er mulig å logge seg på intranett fra internett, er det viktig at innholdet på intranett samsvarer med sikkerhetsnivået.
I 2016 ble det gjennomført en kartlegging av informasjonen på intranett. Kartleggingen ble gjort i forbindelse med vurdering av sikkerhetskrav til pålogging fra internett til intranett. Svarene i undersøkelsen viste at informasjonen på intranett var i samsvar med Byrådssak 1001/11 og Rundskriv 6/2011 med hensyn til informasjonssikkerhet.
Innholdet på intranett er klassifisert til nivå 2, "intern", med utgangspunkt i fire informasjonsklasser:
- Åpen
- Intern
- Taushetsbelagt og personopplysninger
- Sensitiv
Det ble i 2016 implementert pålogging via SMS-kode som tilfredsstiller nivå 2 jf. Kommunal- og moderniseringsdepartementets rammeverk for autentisering og uavviselighet.
|
0 |
Åpen |
Sikkerhetsnivå 1 |
|
Dette er informasjon som har lavt eller ingen beskyttelsesbehov. Informasjon er åpen og kan deles med alle. |
Åpen |
|
|
1 |
Intern |
Sikkerhetsnivå 2 |
|
Dette er informasjon som er ment for intern behandling i kommunen. Skal skjermes fra offentligheten og kun tilgjengeliggjøres ut ifra et tjenstlig behov. |
Påloggingen er en autentisering, for å verifisere at brukeren er ansatt. |
|
|
2 |
Taushetsbelagt og personopplysninger |
Mellomhøyt sikkerhetsnivå (nivå 3) |
|
Informasjon kan både være personopplysninger jf. personopplysningsloven § 2 og taushetsbelagte opplysninger jf. forvaltningsloven § 13. |
MinID gir innlogging til tjenester med mellomhøyt sikkerhetsnivå. Den har en to-faktors sikkerhetsløsning som består av fødselsnummer og personlig passord, samt noe brukeren har. For MinID er dette engangskoder på SMS eller PIN-koder fra et tilsendt kodebrev. |
|
|
3 |
Sensitiv |
Høyeste sikkerhetsnivå (nivå 4) |
|
Informasjon fra saksbehandling og tjenesteutøvelse på en rekke områder vil kunne klassifiseres som sensitiv jf. personopplysingsloven § 2 Dette vil som oftest være helseopplysninger og sensitive personopplysninger. Denne type informasjonen har et enda strengere krav til beskyttelse i forhold til ordinære personopplysninger jf. personopplysingsloven § 13 krav til informasjonssikkerhet. |
BankID, BankID på mobil, Buypass og Commfides leverer elektronisk ID på høyeste sikkerhetsnivå. Dette er som MinID en to-faktorløsning, i tillegg blir e-ID-en utlevert ved personlig oppmøte og legitimering, for å unngå at kodegeneratoren til BankID, smartkortet til Buypass eller USB-pinnen til Commfides havner i feil hender. |
Les kortversjonen - det aller viktigste du må vite om publisering på Oslo kommunes intranett.