Juridiske vurderinger relevante for virksomhetsautentisering
Noen typer opplysninger er rettslig regulert. Hvis du ønsker å dele slike opplysninger må du ta utgangspunkt i det rettslige grunnlaget og de rettslige rammene for å se hvordan opplysningene skal behandles, om de kan deles og i såfall med hvem.
Det rettslige grunnlaget sier noe om hvem som er mottaker
Visse typer opplysninger er rettslig regulert, slik som personopplysninger og taushetsbelagte opplysninger. Da kan være nødvendig med et rettslig grunnlag for å dele opplysningene. Som utgangspunkt bør du først vurdere det rettslige grunnlaget for delingen for å se hvem opplysningene kan deles med.
For deling av personopplysninger vil det rettslige grunnlaget for delingen av personopplysningene være behandlingsgrunnlaget. Når opplysninger skal deles mellom to behandlingsansvarlige, er det nødvendig med et behandlingsgrunnlag både for den handlingen det ligger i å utlevere og å motta personopplysningene. Dette gjelder også om opplysningene deles gjennom databehandlere. Behandlingsgrunnlaget kan si noe om hvem som har adgang til å behandle opplysningene og til hvilket formål.
Dersom opplysningen er underlagt taushetsplikt er hovedregelen at de ikke kan deles. For å dele taushetsbelagte opplysninger kreves det et unntak fra taushetsplikten. Det finnes flere unntak fra taushetsplikten der hvor formålet er deling av opplysninger mellom offentlige aktører. Bestemmelsen som fastsetter unntaket vil være det rettslige grunnlaget for delingen av de taushetsbelagte opplysningene. Normalt vil det fremgå av dette grunnlaget hvem som skal være mottaker av opplysningene.
Det rettslige grunnlaget utpeker en virksomhet som mottaker
Som regel vil det rettslige grunnlaget for delingen utpeke en virksomhet som mottaker for opplysningene. Tilbyderen av disse opplysningene har da kun ansvaret for å sørge for at opplysningene kommer frem til riktig virksomhet. Når mottakeren har mottatt opplysningene er det opp til mottakeren selv å sørge for at opplysningene behandles i tråd med det rettslige grunnlaget og i tråd med regelverket. Dersom det bare er noen roller, grupper eller personer hos mottakeren som skal ha tilgang til opplysningene må mottakeren sørge for et system med tilgangskontroll slik at opplysningene ikke havner hos uvedkommende.
Det ansvarlige pliktsubjekt skal vurdere egen behandling
For behandling av lovregulerte opplysninger skal det ansvarlige pliktsubjektet selv vurdere sin behandling. Dette innebærer at det er den som skal vurdere hvilke enheter og underenheter i sin virksomhet som skal ha tilgang til personopplysningene.
I en delingssituasjon skal ikke tilbyderen vurdere det rettslige grunnlag og de rettslige rammene for mottakerens behandling. Dette betyr at en ikke må forveksle autentisering og autorisering. Selv om tilbyderen har en måte å presist autentisere en underenhet hos mottakeren, er det mottakeren som må vurdere hvorvidt denne underenheten er autorisert. Denne autoriseringen og hva den omfatter av opplysninger må i såfall deles med tilbyderen av informasjonen.
Finnes det noen nærmere krav til autentisering av mottaker?
Økt presisjonsnivå på autentisering er et sikkerhetstiltak som kan bidra til opplysninger ikke kommer på avveie. Det er derfor nyttig å vurdere om det finnes noen rettslige krav til presisjonsnivå på autentiseringen.
I personvernregelverket er særlig personvernforordningens artikkel 32 relevant. Bestemmelsen gjelder krav til sikkerhet ved behandlingen. Denne bestemmelsen sier at behandlingsansvarlige og databehandleren skal “gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen”. Bestemmelsen legger opp til en konkret vurdering. Det kan derfor ikke sies generelt at presis autentisering alltid vil være et egnet tiltak. Så fremt økt presisjonsnivå på autentisering er et sikkerhetsfremmende tiltak uten ulemper, synes det imidlertid ikke å være en juridisk hindring med et slikt tiltak. Dersom det viser seg at det er en del ulemper forbundet med denne typen presis autentisering, vil du konkret måtte vurdere om det er et egnet tiltak.
Tilsynelatende fastsetter heller ikke eForvaltningsforskriften og lov om elektroniske tillitstjenester spesifikke krav til autentisering som er til hinder for forslagene til forbedringer av dagens løsning med virksomhetssertifikater. Det kan tenkes at sikkerhetslovgivningen stiller mer presise krav til autentisering. Sikkerhetslovgivningen er ikke vurdert i denne sammenheng. Så fremt økt presisjonsnivå ved autentisering er et sikkerhetsfremmende tiltak uten sikkerhetsmessige ulemper, er det likevel liten grunn til å tro at sikkerhetslovgivningen er til hinder for forslagene i denne veilederen.
NSM sine Grunnprinsipper for IKT-sikkerhet 2.0, punkt 2.6 omtaler identiteter og tilganger. Prinsippene har trolig ikke stor rettskildemessig vekt, men kan gi viktig sikkerhetsfaglig innsikt. Prinsippene synes heller ikke å legge noen begrensninger på forslagene forbedringer av dagens virksomhetsautentisering.
Samlet sett gir rettskildene tilsynelatende få spesifikke føringer. Slike føringer er trolig ikke nødvendig, så lenge det innføres sikkerhetstiltak som bare øker sikkerheten ved behandlingen av personopplysningene. Det er grunn til å tro at et slikt tiltak er positivt. Dersom foreslåtte sikkerhetstiltak for autentisering også medfører ulemper, kan det være grunnlag for å gjøre en ny og konkret vurdering i lys av rettskildene.
Oppsummert: de juridiske kravene til autentisering
Dersom opplysningene er rettslig regulert, må du ta utgangspunkt i det rettslige grunnlaget og de rettslige rammene for å se hvordan opplysningene skal behandles, om de kan deles og i såfall med hvem.
Presis autentisering er et verktøy for å være sikker på at en snakker med korrekt mottaker. Hvorvidt denne mottakeren er autorisert er imidlertid et eget spørsmål, og et spørsmål som det ansvarlige pliktsubjektet selv må vurdere. Tilsynelatende legger ikke relevante rettskilder noen begrensninger på høyt presisjonsnivå ved autentisering. Tvert imot, synes det å være positivt så lenge dette er et sikkerhetsfremmende tiltak uten synlige ulemper. Dersom det er ulemper knyttet til dette, bør du foreta en konkret vurdering av regelverk som er relevant for den typen opplysninger du ønsker å dele.