Regjeringen la i juni 2017 frem stortingsmeldingen IKT-sikkerhet – Et felles ansvar. For å følge opp denne er det satt i gang et arbeid med en ny nasjonal strategi, med tilhørende handlingsplaner. Disse skal erstatte Nasjonal strategi for informasjonssikkerhet og Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015-2017. Justis- og beredskapsdepartementet og Forsvarsdepartementet arrangerte denne uken en strategikonferanse for å skape engasjement og bevissthet rundt arbeidet med den nye strategien.
Det norske samfunnet digitaliseres i en voldsom fart, og vi er blant de fremste landene til å ta i bruk ny teknologi. I sin åpningstale trakk statsminister Erna Solberg frem at ivaretagelse av personvernet er en forutsetning for vellykket digitalisering «Digitaliseringen setter personvernet på nye prøver. Vi legger igjen stadig mer personlig informasjon i digitale løsninger. Det er da viktig at disse løsningene da er sikre, og slik sett blir god IKT-sikkerhet også en forutsetning for personvernet.»
Datatilsynet er selvfølgelig helt enige med statsministeren, og er svært positive til at både strategi og handlingsplan fornyes. Vi deltok derfor på konferansen, og kom med følgende innspill på en strategikonferansen for den nye strategien:
Datatilsynets innspill
Datatilsynet har to overordnende ønsker til arbeidet.
Det første er at strategien må forsøke å harmonisere alle de initiativ og endringer som pågår på IKT-sikkerhetsfeltet. Det er i dag mer fokus på IKT- sikkerhet og relaterte temaer en noen gang før, og det er satt i gang mange gode initiativ. Blant disse er IKT-sikkerhetsutvalget i regi av Justisdepartementet, og Digital 21 i regi av Nærings- og fiskeridepartementet. I tillegg er det flere lover og forskrifter på IKT-sikkerhetsområdet som trer i kraft det kommende året. EUs personvernforordning, ny sikkerhetslov og en omfattende revisjon av Beredskapsforskriften for kraftsektoren er eksempler her. Med så mye arbeid på en gang er det helt avgjørende at en nasjonal IKT-sikkerhetsstrategi syr dette sammen og skape en helhet på tvers av sektorer og rettslig regulering.
Vårt andre innspill er at strategien må ta inn over seg at ny personopplysningslov er det eneste regelverket som stiller IKT-sikkerhetskrav til tilnærmet alle virksomheter som opererer i Norge. Strategien må derfor støtte opp under kravene i denne loven. Jeg vil gjerne trekke frem to krav i loven som er av særlig betydning i denne sammenhengen, nemlig innebygd personvern og gode risikovurderinger
Innebygd personvern
Det første er kravet til innebygd personvern. Innebygd personvern skal sørge for at informasjonssystemene vi bruker oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter. Ved utvikling av nye løsninger skal virksomheten tenke helhetlig på personvern og sikkerhet. Å ta hensyn til personvernet og sikkerheten gjennom hele utviklingsløpet er både kostnadsbesparende og mer effektivt enn å endre en ferdigutviklet programvare. Med andre ord: en forutsetning for god digitalisering. Vi håper strategien kan være med på å fremheve dette. Forbrukerrådets rapport om store sikkerhetssvakheter i smarte klokker for barn viser med all tydelighet konsekvensene når personvern og sikkerhet i beste fall er en ettertanke.
Risikovurderinger og vurderinger av personvernkonsekvenser
Videre mener vi at strategien må understreker betydningen av gode risikovurderinger og vurdering av personvernkonsekvenser. God IKT-sikkerhet er helt avhengig av et bevist forhold til egne verdier, også hvilke personopplysninger man behandler. Dette betyr blant annet å kartlegge konsekvenser ved tap av konfidensialitet, integritet og tilgjengelighet, men også å vurdere hva behandlingen av opplysninger faktisk vil bety for den enkeltes rett til privatliv og personlig integritet. Dette er et ledelsesansvar, og høstens sak med Helse Sør-Øst viser konsekvensene når dette ikke tas på fullt alvor.
Får å få riktig sikkerhetsnivå og bevissthet i både privat og offentlig sektor er det avgjørende at vi greier å bygge kultur, kompetanse og samarbeid på tvers av sektorer og miljøer. Datatilsynet stiller seg naturligvis til rådighet i det videre arbeidet med strategien.