Trinn 1 - Identifisere oppgaver og informasjonstyper
Trinn 1 handler om å identifisere hvilke oppgaver og tjenester som utføres i enheten. Deretter må man identifisere informasjonstypene som behandles og relevante forhold knyttet til dem.
Vi anbefaler å benytte «MAL Foranalyse trinn 1 - Oppgaver og informasjonstyper» i utførelsen av dette trinnet. Malen inneholder en oversikt over oppgaver som kan tilpasses virksomheten. Oppgavene og tjenestene bør dokumenteres i hvert sitt støtteskjema.
Hvordan organisere arbeidet med trinn 1
Alle som har ansvar for en arbeidsoppgave, -prosess eller tjeneste i virksomheten bør gjennomføre en kartlegging av oppgaver og informasjonstyper. Virksomheten kan selv velge på hvilket organisatorisk nivå kartleggingen skal gjennomføres. Den kan for eksempel gjennomføres på laveste organisatoriske nivå, eller samlet i ledergruppen på nivået over.
Kartleggingen kan gjerne gjennomføres med bistand fra fagansvarlig informasjonssikkerhet. Digitaliseringsdirektoratet anbefaler også at man oppretter en arbeidsgruppe der man involverer fagpersoner som kjenner oppgavene og informasjonstypene gjennom sitt daglige arbeid.
Det bør pekes ut en prosessleder som er ansvarlig for å lede gjennomføringen. Prosessleder bør få støtte av en ansatt som kan bistå med praktisk utfylling av malen. Da blir møter mer effektive og man kan se resultater av gjennomføringen raskere. Prosessleder kan da fokusere på å lede diskusjonen, og møtedeltakerne ser hvordan innholdet i dokumentet utvikler seg.
Ettarbeid etter møter kan gjerne gjøres av prosessleder og støtteperson i fellesskap. Ferdigstilling av dokumentet bør gjøres av den aktuelle organisatoriske enhet. Det er de som skal eie resultatet.
Det vil normalt være behov for å gjennomføre 1-2 arbeidsmøter pr enhet. Dersom prosessleder ikke arbeider i enheten som skal gjennomgås bør vedkommende gjøre seg kjent med den aktuelle enheten før arbeidsmøtene.
Identifiser og beskriv oppgaver og tjenester
Arbeidsgruppen begynner med å identifisere hvilke oppgaver og tjenester som utføres innen ansvarsområdet. Det er viktig å omtale oppgavene på et overordnet nivå, og navnet bør si noe om det faktiske innholdet i oppgaven. Det finnes eksempler i malen som kan benyttes som utgangspunkt, men de må tilpasses behovene i virksomheten og den enkelte enhet. Man kan supplere, stryke, eller presisere i løpet av gjennomgangen.
For større oppgaver eller tjenester kan det være hensiktsmessig å dele opp i mindre deloppgaver. Det kan for eksempel være en saksbehandlingsoppgave der enkelte av sakene som behandles har høyt konfidensialitetsbehov, mens andre ikke har det.
Beskrivelse av hver oppgave eller tjeneste
Det bør gis et navn på oppgaven eller tjenesten, som det kan refereres til i de neste trinnene i foranalysen. Det anbefales at navnet er kort og forståelig.
Formålet med oppgaven eller tjenesten bør beskrives kort. Det kan for eksempel være å utføre en nødvendig tjeneste, nå et spesielt mål for virksomheten, eller etterleve et konkret regelverk. Behandler man personopplysninger må denne behandlingen ha et klart formål.
Det bør også gis en kort beskrivelse av oppgaven eller tjenesten dersom ikke det korte navnet og formålet til sammen gir tilstrekkelig informasjon. Et eksempel kan være dersom man beskriver oppgaven «Tilsyn», og dette omfatter flere områder man gjør tilsyn på.
Ved utfylling av et støtteskjema bør det angis dato for når det er ferdig utfylt, og når noe endres i etterkant. Det kan være nyttig informasjon når man jevnlig skal sjekke ut behov for oppdateringer av kartleggingen.
Man bør for hver oppgave/tjeneste identifisere:
- Navn på IKT-system som benyttes til behandling av informasjon. Dette kan enten være systemer som kun benyttes i denne oppgaven, eller det kan være fellessystemer som også andre deler av virksomheten benytter i andre oppgaver eller tjenester.
- Relevant regelverk for gjennomføring av oppgaven, for eksempel forvaltningsloven, arkivloven og offentleglova.
- Regelverk med krav til informasjonssikkerhet, for eksempel personopplysningsloven, sikkerhetsloven eller helseregisterloven.
Identifiser informasjonstyper som behandles i oppgavene
Når oppgaver og tjenester er identifisert, er neste oppgave å identifisere hvilke informasjonstyper som behandles i de ulike oppgavene.
Støtteskjemaet er et utgangspunkt og bør tilpasses virksomhetens behov. Dersom virksomheten har tilgang til helt eller delvis utfylte skjemaer for noen av oppgavene, bør disse brukes som utgangspunkt. Man kan også ta utgangspunkt i eksemplene fra «EKSEMPEL Typiske oppgaver og tilhørende informasjonstyper» og diskutere hvor relevante de foreslåtte informasjonstypene er for virksomheten. Dersom det ikke er tilgjengelig eksempler/utgangspunkt, må arbeidsgruppen utforme hele beskrivelsen selv.
Når prosessene er komplekse og sammensatte, kan det være nødvendig å kategorisere informasjonstypene annerledes, for eksempel for IKT-drift, der naturlige informasjonstyper kan være «IKT-utstyr», «Brukere», «Driftsrutiner» etc.
Om informasjonsbehandling i oppgaven
Identifiser hvilke informasjonstyper som behandles i oppgaven eller tjenesten. Informasjonstypene bør beskrives på et overordnet nivå.
Deretter identifiseres relevante bestemmelser i form av paragrafer for potensiell taushetsplikt / unntak fra offentlighet. Man bør vise til lov, paragraf og ev. alternativ. Eksempel: fvl §13 nr. 1.
- Ytterligere detaljer kan gjøres som etterarbeid, slik at man ikke bruker tiden på dette i arbeidsmøtet.
- For kompetanseheving eller ved spesielle behov, kan man i forkant eller etterkant også støtte seg på Justisdepartementets «Rettleiar til offentleglova» samt vedlegg til denne.
For hver informasjonstype bør man så vurdere hvor det er behov for å være spesielt obs i henhold til informasjonssikkerhet. Både konfidensialitet (K), integritet (I) og tilgjengelighet (T) bør vurderes. Hensikten er å synliggjøre hvor behovet for å ivareta informasjonssikkerheten er høyere enn det som anses som normalt i virksomheten.
Det bør også vurderes om hver informasjonstype normalt inneholder personopplysninger og om det eventuelt også er snakk om «særlige kategorier av personopplysninger». Det siste har spesiell betydning for personvernregelverkets bestemmelser om vilkår for å kunne behandle opplysningene.
Merk at i offentlig sektor er det bestemmelsene i offentleglova med forskrifter som avgjør om noe kan unntas offentlighet, og dermed kan ha spesielle konfidensialitetsbehov. At noe er en personopplysning eller at opplysningen tilhører en særlig kategori, er ikke i seg selv nok, selv om det siste ofte gir en indikasjon.
For offentlig sektor er det her i hovedsak taushetspliktbestemmelsene i fvl §13 nr. 1, om «noens personlige forhold», som er avgjørende. Merk samtidig at særlover for enkelte områder kan ha mer omfattende taushetspliktsbestemmelser om personopplysninger, og at andre deler av u.off. bestemmelsene i offentleglova kan være relevante.
Hvordan bruke trinn 1 som utgangspunkt for arbeid på andre områder
Digitaliseringsdirektoratet anbefaler at man i så stor grad som mulig koordinerer prosesser for å kartlegge oppgaver og tjenester i virksomheten, og hvilken informasjonsbehandling som understøtter oppgavene. Man har behov for oversikt over hvilken informasjon som behandles for ulike formål, for eksempel personvern, nasjonal sikkerhet, datadeling, informasjonsforvaltning og arkiv.
Støtteskjemaet i malen det vises til her tar høyde for at man for hver oppgave i tillegg til behovet for informasjonssikkerhet også kan kartlegge:
- nødvendig informasjon knyttet til personopplysninger
- behov knyttet til etterlevelse av sikkerhetsloven
- mulighet for datadeling
I eForvaltningsforskriften § 15 heter det at internkontrollen «skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks». Det betyr at når man etablerer internkontroll/styringssystem etter kravene i eForvaltningsforskriften, så skal det inkludere relevante krav om informasjonssikkerhet og internkontroll på området som fremkommer i personopplysningloven, sikkerhetsloven og andre relevante lover, med tilhørende forskrifter. Dette er både mer effektivt og gir bedre samlet styring og kontroll enn å ha ulike system for ulike regelverk som omhandler informasjonssikkerhet.
Digitaliseringsdirektoratets veiledningsmateriell er tilrettelagt for dette. Det omfatter likevel bare de kravene i annet regelverk som gjelder informasjonssikkerhet. Når det gjelder etterlevelse av personvernregelverket og sikkerhetsloven er det henholdsvis Datatilsynet og Nasjonal sikkerhetsmyndighet (NSM) som har veiledningsansvaret. Vi henviser til dem for spørsmål om disse regelverkene.
Etterlevelse av personvernregelverket
Det er viktig å merke seg at internkontroll på informasjonssikkerhetsområdet kun dekker personvernforordningens bestemmelser om informasjonssikkerhet, og deler av bestemmelsene om personvernkonsekvensvurdering og behandlingsprotokoll. Virksomheten må ha egne rutiner, og eventuelt egne støttefunksjoner som fagansvarlig personvern, for å sikre etterlevelse av personvernregelverket for øvrig. Digitaliseringsdirektoratets veiledning om informasjonssikkerhet dekker ikke dette.
Støtteskjemaet er imidlertid tilrettelagt for å også dekke tilgrensede kartleggingsbehov for etterlevelse av personvernregelverket på områder som går utover informasjonssikkerhet. Skjemaet er ment som en støtte dersom man ikke har andre systemer for behandlingsprotokoll. Dersom virksomheten har en slik løsning eller system, bør det benyttes.
Støtteskjemaet skal hjelpe virksomhetene til å etterleve personvernforordningens krav på en effektiv og risikobasert måte. Skjemaet vil dekke hoveddelen av kravet til behandlingsprotokoll iht. pvf artikkel 30, samtidig som det avdekkes hvilke områder som bør få særlig oppmerksomhet i det videre arbeid, for å ivareta krav til informasjonssikkerhet og personvern. Virksomheten må følge opp dette i etterkant av kartleggingen.
Vær oppmerksom på at støtteskjemaet legger opp til kartlegging på et mer overordnet nivå enn hva Datatilsynet foreslår i sin veiledning.
Kommunale og statlige virksomheter kan registrere sine behandlingsaktiviteter i registreringsløsningen til Felles datakatalog (data.norge.no). Løsningen dekker de fleste tema som fremgår i Datatilsynet sin mal for protokoll over behandlingsaktiviteter, men har i tillegg tilgangsstyring, hjelpetekster på hvert tema og mulighet for å kople behandlingsaktiviteter til datasettbeskrivelser i Felles datakatalog slik at man kan vise hvilke datasett som omfattes av hver behandlingsaktivitet. Det er også mulighet å ta ut rapport som viser alt innhold i behandlingsoversikten og rapport som dekker kravene til innhold i protokoll.
Mer informasjon om hvordan din virksomhet får tilgang, finner du på data.norge.no under «Hjelp til å registrere» . Du logger deg inn ved å velge «Logg inn for å registrere» under «Registrere data».
Behandlingsgrunnlag for personopplysninger er nyttig å kartlegge for å kunne etterleve informasjonsplikten overfor den registrerte. Dersom man behandler personopplysninger i oppgaven/tjenesten, bør man også identifisere behandlingsgrunnlaget.
Man bør også kartlegge kategorier av registrerte og kategorier av mottakere av personopplysninger for å oppfylle krav til behandlingsprotokoll. Virksomheten kan alternativt registrere dette i én sentral behandlingsprotokoll.
Hvis virksomheten ser behov for å gjennomføre en personvernkonsekvensvurdering av behandlingen bør man notere seg momentene som taler for at det foreligger høy personvernrisiko («høy risiko for fysiske personers rettigheter og friheter»). For mer informasjon om vurdering av personvernkonsekvenser, se Datatilsynets veiledning i Vurdering av personvernkonsekvenser (DPIA).
Dersom personopplysningene utleveres eller behandles utenfor EØS eller til internasjonale organisasjoner, kan også dette noteres for å oppfylle krav til behandlingsprotokoll. Virksomheten må da påse at utleveringen er i overensstemmelse med personvernforordningens regler, slik at opplysningene behandles med et tilstrekkelig beskyttelsesnivå.
Formål for behandling: Artikkel 5 nr 1 bokstav b: Personopplysninger skal (…) samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene (…).
Særlige kategorier av personopplysninger: Artikkel 9 nr. 1. Personopplysninger om «rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering»
Informasjonsplikten overfor den registrerte: Artikkel 13 nr. 1 bokstav c (ev. artikkel 14)
Behandlingsgrunnlag: artikkel 6 og ev. artikkel 9 + bokstaver eller lovhjemmel
Krav til behandlingsprotokoll: artikkel 30 nr. 1 bokstav c og d
Bestemmelser om informasjonssikkerhet: artikkel 32-34.
Personvernkonsekvensvurdering: artikkel 35. Se Datatilsynets veiledningsside og artikkel 29-gruppens veileder wp248 av 13.10.2017 for veiledninger til bestemmelsen. Artikkel 29-gruppen var EUs rådgivende organ i personvernspørsmål, jf. personverndirektivet artikkel 29. Den uttalte seg også om personvernforordningen, før den hadde trådt i kraft. Gruppen er fra 25.5.2018 avløst av Det europeiske personvernråd, jf. pvf. artikkel 68. Rådet har sluttet seg til artikkel 29-gruppens uttalelser om pvf, jf. dets «Endorsment 1/2018».
Utlevering og behandling av personopplysninger utenfor EØS: artikkel 30 nr. 1 bokstav d og e.
Grunnlag for utlevering og behandling utenfor EØS: kapittel V (artikkel 46 og artikkel 47)
Identifisere behov for beskyttelse i henhold til sikkerhetsloven
Dersom man i gjennomgangen identifiserer områder der informasjonen som behandles, eller informasjonssystemene som benyttes, er skjermingsverdig i henhold til sikkerhetsloven, bør dette noteres.
Dette synliggjør behovet for videre arbeid med å vurdere hvordan disse verdiene skal beskyttes for å oppfylle kravene i lov og forskrift.
Identifisere mulighet for deling av data
Kartleggingen av oppgaver og tjenester, og informasjonsbehandlingen i disse, kan også danne grunnlaget for videre arbeid med deling av data. Man bør i løpet av kartleggingen også vurdere følgende:
- Behandler oppgaven/tjenesten datasett som det bør deles beskrivelser av?
- Hvilket tilgangsnivå bør datasettene ha?
For videre arbeid anbefales det å se på veilederen «Orden i eget hus» og verktøykassen for deling av data fra Digitaliseringsdirektoratet.
Den enkelte virksomhet skal ha tilstrekkelig oversikt over hvilke data den håndterer, og statlige virksomheter skal registrere datasett i Felles datakatalog (data.norge.no), jf. Digitaliseringsrundskrivet kapittel 1.2 Tilrettelegg for gjenbruk og viderebruk av informasjon. Kommuner og fylkeskommuner oppfordres også til å registrere sine datasett.
Neste trinn i foranalysen
Når man har identifisert oppgaver og tjenester, og kartlagt informasjonsbehandlingen i disse, går man videre til å vurdere høyeste konsekvensnivå som kan inntreffe ved informasjonssikkerhetsbrudd.