Av Kari Laumann, seniorrådgiver i Datatilsynet

Mange slike tjenester baserer seg på løsninger der driften og lagring av data skjer hos en tredjepart – såkalt tjenesteutsetting. Men kan vi egentlig stole på at personopplysningene våre er trygge når de behandles av tredjeparter?

Tja, sier folket i en ny undersøkelse fra Datatilsynet. Vi spurte rundt tusen personer om hva de tenker om tjenesteutsetting. Henholdsvis 45 og 44 prosent svarte at de ikke stoler på at offentlige og private virksomheter tar gode beslutninger om tjenesteutsettelse til utlandet. Dette er ikke gode tall.

2017 var et dårlig år

Uheldige hendelser i 2017 kan kanskje være en del av forklaringen på manglende tillit. I den såkalte «Helse Sør Øst-saken» avslørte NRK at IT-medarbeidere i Asia og Øst-Europa hadde tilgang til pasientdata fra foretak i Helse Sør-Øst, som lagrer pasientinformasjon om halvparten av alle nordmenn. Datatilsynet ila de ni sykehusene som var involvert en bot på til sammen 7,2 millioner kroner på grunn av manglende risikovurdering og pulverisert sikkerhetsledelse.

I «Nødnett-saken» kom det frem at deler av Nødnettet i lengre tid har vært driftet fra India, av IT-arbeidere som ikke var sikkerhetsklarert. Og videre, at IT-arbeiderne i India kunne ha stengt ned deler av nødnettet, uten at man fra norsk hold kunne forhindret det. Nødnettet er samfunnskritisk infrastruktur, med brukere som politiet, andre nødetater og Forsvaret.

Strengere regler i sikte

Den nye personopplysningsloven (GDPR) trer i kraft i mai i Europa, og er basert på en risikobasert tilnærming: Jo mer data, jo mer sensitiv data, jo mer sammenstilling av data; jo flere plikter og jo grundigere vurderinger blir nødvendig.

Gode valg når man benytter en ekstern part fordrer gode prosesser, kunnskap og kartlegging hos aktørene som vurderer tjenesteutsetting. Sentralt i dette står vurderinger av risiko, det vil si vurdering av verdier, trusler og sårbarhet. Det er et lederansvar å følge opp: Ledelsen må ha en klar forståelse av sitt ansvar for informasjonssikkerheten, og ansvaret for valg om hvilken risiko som kan aksepteres.

Sett brukeren i sentrum, bygg tillit

For å lykkes med å få til godt personvern må individet settes i sentrum. Hva må til for at brukerens rettigheter og integritet blir ivaretatt? Dette spørsmålet bør stå øverst på agendaen til norske virksomheter som nå forbereder seg på at det nye regelverket trer i kraft.

En absolutt forutsetning for at vi skal lykkes med digitalisering av offentlig sektor og med dataintensiv vekst av produkter og tjenester i privat sektor, er at befolkningen har tillit til at opplysningene deres behandles på en god måte. Folk må kunne være trygge på at de som forvalter informasjon om dem, har kontroll.  At de kan stole på at risiko blir grundig vurdert, valg av aktør og land inkludert. At de kan stole på at økonomi og behov for fremdrift i store IKT-prosjekter ikke gjør sikkerhet til underordnet tema. At de kan stole på at ledelse – helt til topps – opplever informasjonssikkerhet som sitt ansvar, og ikke som noe IT-avdelingen alene kan stelle med.