Halvparten av offentlige etater som bruker nettskytjenester, har ikke databehandleravtale med leverandøren.
Denne uken ble Mørketallsundersøkelsen 2014 presentert på Sikkerhetskonferansen i regi av Næringslivets sikkerhetsråd.
Undersøkelsen er et viktig bidrag til å kartlegge omfanget av IT-sikkerhetshendelser, samt omfanget av sikringstiltak i norske virksomheter. Årets undersøkelse hadde fokus på personvern. Datatilsynet har deltatt i Informasjonssikkerhetsutvalget, og vi har vært med på å analysere tallene fra undersøkelsen. Vi har særlig sett på bruken av nettskytjenester opp mot behandling av personopplysninger.
Nytt av året er et spørsmål om databehandleravtale inngår som element i avtalen med nettskyleverandøren. Blant offentlige virksomheter har i underkant av halvparten av de spurte svart at de stiller krav til databehandleravtale, mens blant private virksomheter er det kun 1 av 5 som har dette kravet. Hvis en virksomhet setter ut hele eller deler av behandlingen av personopplysninger til andre virksomheter, krever personopplysningsloven at dette reguleres i en databehandleravtale.
At så få stiller krav om en databehandleravtale er et alarmerende tall, særlig når vi ser på hvor mange virksomheter som har svart at de bruker nettskytjenester. 2 av 3 virksomheter bruker slike tjenester som igjen betyr at en stor del av norske virksomheter og offentlige etater som bruker nettskytjenester, ikke har inngått noen skikkelig databehandleravtale med de som behandler opplysningene som lagres i nettskyen.
Virksomhetene ble også spurt om de vet hvordan nettskyleverandøren kan bruke dataene deres. 1 av 5 vet ikke hvordan leverandøren kan bruke kundens data, og 1 av 5 vet heller ikke hvor dataene lagres. Dette er nedslående og kan innebære to lovbrudd; at man ikke har oversikt over hvor data behandles, og at det kan ha skjedd en ulovlig overføring til tredjeland.
3 av 4 virksomheter svarer at de har tillit til nettskyleverandørene. Tillit er bra, men 3 av 4 bør ikke stole blindt på sin leverandør. Man kan flytte data ut i skyen, men man kan ikke flytte ansvaret. Det er i realiteten det som skjer når man ikke har databehandleravtaler og kontroll på leverandørenes bruk av data.
Årets undersøkelse har i større grad enn tidligere anbefalinger og veiledninger til hva virksomhetene kan gjøre for å beskytte seg bedre. Vi i Datatilsynet er spesielt opptatt av at små og store virksomheter blir klar over at de i mindre eller større grad behandler personopplysninger, for eksempel i et CRM-system (kundehåndteringssystem):
CRM og kundeopplysninger
CRM-system (Customer Relationship Management System), kan på norsk kalles kundehåndteringssystem. Et CRM-system inneholder personopplysninger og omfattes av personopplysningsloven. Personopplysninger er alle opplysninger og vurderinger som kan knyttes til en enkeltperson. Ofte bruker virksomheter skytjenester for CRM-systemet, dette kan komme i konflikt med personopplysningsloven. Personopplysninger kan være opplysninger om ansatte, kunder, klienter eller pasienter. Virksomhetene som behandler personopplysninger, skal ha et formål med behandlingen. Et eksempel på formål kan være å ha oversikt over kundene til virksomheten, samt administrasjon av kjøp og salg.
En virksomhet som behandler personopplysninger gjør dette vanligvis etter samtykke fra den det samles informasjon om. I slike tilfeller kreves det utfyllende og konkretisert informasjon som setter den registrerte (kunden) i stand til å vurdere om vedkommende ønsker å gi sitt samtykke.
Det er normalt alltid virksomhetens leder som er ansvarlig for korrekt håndtering av personopplysninger. Personopplysningsloven stiller krav om at den som behandler personopplysninger skal etablere et system for internkontroll. Det betyr at virksomheter, som omfattes av loven, må iverksette systematiske tiltak for å sørge for at loven og tilhørende regelverk følges.
Hentet fra Mørketallsundersøkelsen 2014, s.10
Vi har også laget en anbefaling for hva virksomhetene må gjøre før de legger personopplysninger ut i skyen. De viktigste momentene er: kartlegg og klassifiser alle systemer som inneholder personopplysninger fra sensitive til ikke-sensitive opplysninger, gjennomfør risikovurderinger, vurder databehandleravtalen, og gjennomfør sikkerhetsrevisjon. Viktige problemstillinger de må vurdere er: sikkerhetskopiering, hvor lagres dataene, sletting, tilgangsstyring, segmentering og kryptering. God veiledning for dette finner man på våre nettsider.
Personlig tror jeg ikke at det er en uvilje mot å gjøre ting riktig, men heller at det er mangel på kunnskap og manglende forståelse for temaet. Når jeg selv snakker med andre om nettskytjenester, prøver jeg å forenkle begrepene for å få folk til å forstå hva det betyr for dem:
- Risikovurdering kan sammenliknes med hvilken vurdering du gjør for å unngå å krasje under bilkjøring. Konsekvensen for å krasje kan være stor, sannsynligheten for at det skal skje kan være liten. Risikoen blir da middels. Tekniske tiltak som du må ta i bruk er: airbag, bilbelte, og bilsete til barna. Organisatoriske tiltak: førerkortopplæring, sjekke speil og dødvinkel, holde fartsgrensen og fortelle barna at de skal sitte ordentlig i setet.
- En databehandler kan sammenliknes med en barnevakt. Det er en selvfølge at du kjenner barnevakten før du leverer barnet ditt hos vedkommende. Er det skittent der og søppel som flyter? Er det en barnevakt som står med en sigarettsneip i munnviken og en ølflaske i hånden? Er det en hage uten gjerde rett ved et stup? Hvis svaret er ja, lar du ikke barnet ditt være der. Sammenlikn barnet ditt med personopplysninger til dine kunder og gjør tilsvarende vurderinger. Du skal være sikker på at personopplysningene er like sikre hos din leverandør som de her hos deg. Siden du er juridisk ansvarlig, er du også ansvarlig for sikkerheten hos leverandøren din.