Til startsiden
  • Personvern
  • Arkiv
  • Nettstedskart
  • Kontakt oss
  • Skriv ut
  • Skriv ut
  • Endre tekststørrelse
English

UDI internmeldinger

Dokument-ID : IM 2019-005
Saksnummer : 19/00895-8
Dokumentdato : 23.08.2019
Mottakere :

Utlendingsdirektoratet

Personvernkonsekvensvurderinger og risikoanalyser for informasjonssikkerhet i UDI


1. Innledning

2. Hva er en personvernkonsekvensvurdering og en risikoanalyse?

3. Når skal du gjennomføre personvernkonsekvensvurderinger og risikoanalyser?

4. Hvordan skal du gjennomføre DPIA og ROS?

4.1 Når må du innhente anbefaling fra AEF?

5. Hvem skal godkjenne konsekvensvurderingen og risikoanalysen?

5.1 Foreløpig vurdering

5.1.1 Analyser som skal vurderes i AEF

5.1.2 Analyser som skal vurderes i en annen avdeling

5.1.3 Analyser som skal vurderes i flere avdelinger

5.2 Oppfølging etter foreløpig vurdering

5.3 Endelig godkjenning

6. Lagring og arkivering

1. Innledning

Denne retningslinjen gir retningslinjer for når og hvordan personvernkonsekvensvurderinger og risikoanalyser knyttet til informasjonssikkerhet skal gjennomføres, vurderes og godkjennes i UDI.

Retningslinjen gjelder ikke for risikoanalyser som omhandler andre tema enn informasjonssikkerhet.

2. Hva er en personvernkonsekvensvurdering og en risikoanalyse?

En vurdering av personvernkonsekvenser (data protection impact assessment, heretter omtalt som DPIA) skal sikre at personvernet til alle det behandles personopplysninger om i UDI blir ivaretatt. I tillegg sørger vurderingen for at vi dokumenterer de planlagte behandlingsaktivitetene og formålene med behandlingen, herunder at aktivitetene er nødvendige og står i rimelig forhold til formålene.

En risiko- og sårbarhetsanalyse (ROS) er et verktøy for å identifisere uønskede hendelser knyttet til personvern og informasjonssikkerhet. I analysen skal man også vurdere hvor sannsynlig det er at hendelsen inntreffer og hvilke konsekvenser dette kan få for våre brukere og UDI.

3. Når skal du gjennomføre personvernkonsekvensvurderinger og risikoanalyser?

Behandlingsansvarlige har plikt til å gjennomføre personvernkonsekvensvurderinger hvis den aktuelle behandlingen står på Datatilsynets liste over behandlingsaktiviteter som alltid krever vurdering (lenke til datatilsynet.no). I tillegg skal det gjennomføres en personvernkonsekvensvurdering hvis behandlingen vil medføre høy risiko for personers rettigheter og friheter, jf. personvernforordningen (heretter forordningen) artikkel 35 (lenke til lovdata.no).

UDI skal gjennomføre personvernkonsekvensvurderinger og risikoanalyser ved

  • innføring eller endring av IT-tekniske løsninger som inneholder personopplysninger,

  • nye behandlinger av personopplysninger,

  • endring i hvordan personopplysninger behandles (endring i prosesser for eksempel på grunn av organisatoriske eller lovmessige endringer),

  • automatisering, herunder profilering som definert i forordningen artikkel 4 nr. 4 (lenke til lovdata.no)

  • endring i risikoene som oppstår gjennom behandlingen av personopplysninger etter at ROS-analysen er godkjent første gang,

  • behandling av særlige kategorier (sensitive) i stor skala,

  • bruk av innovativ teknologi (f.eks. kunstig intelligens) overfor våre brukere,

  • systematisk kontroll av ansatte (f.eks. overvåking av IT-teknisk aktivitet, lokasjonsdata og kameraovervåking),

  • behandling av personopplysninger, uten samtykke, for vitenskapelige formål,

  • algoritmetrening gjennom svært personlige opplysninger i stor skala

I tillegg skal UDI gjennomføre en risikoanalyse ved innføring eller endringer av IT-tekniske løsninger som ikke innebærer behandling av personopplysninger.

Personvernkonsekvensvurderingen og risikoanalysen skal gjennomføres samtidig i én og samme mal og så tidlig som mulig i planleggingen av prosessen, og senest før behandlingen starter. Ved utvikling av IT-tekniske løsninger skal dette gjennomføres i konseptfasen av prosjektet.

4. Hvordan skal du gjennomføre DPIA og ROS?

Avdelingen som har ansvar for prosessen/utviklingen har også ansvaret for å gjennomføre personvernkonsekvensvurderingen og risikoanalysen.

Avdelingene skal bruke den fastsatte malen i Proff-metodikken (lenke til intranett er kun tilgjengelig for ansatte i UDI) for å dokumentere vurderingene og analysene.

For at vurderingen og analysen kan godkjennes må minst én personvernrådgiver delta. Personvernrådgiveren skal påse at personvernkonsekvensene og risikoene blir dokumentert i analysen. Personvernrådgiveren skal vurdere om det er behov for å forhåndsdrøfte prosessen/løsningen med Datatilsynet og drøfte dette nærmere med personvernombudet. Ved behov for forhåndsdrøftelse kontakter personvernombudet Datatilsynet.

Analysen skal inneholde en beskrivelse av

  • hvilke konsekvenser prosessen/løsningen har for personvernet sett opp mot eksisterende løsning,

  • hvilke risikoer for personvern og informasjonssikkerheten som er identifisert, og

  • forslag til tiltak som kan redusere de identifiserte risikoene.

Tiltak som reduserer de høyeste risikoene skal alltid prioriteres først.

Avdelingen som har ansvar for analysen har også ansvar for at de prioriterte tiltakene blir gjennomført, se punkt 5.2.

4.1 Når må du innhente anbefaling fra AEF?

Alle analyser som omhandler endringer/nye løsninger som kan ha betydning for informasjonssikkerheten skal sendes til risikovurdering@udi.no. AEF skal gi et svar i malen innen 14 dager. Deretter skal den sendes til ansvarlig(e) avdelingsdirektør(er) i UDI for vurdering og godkjenning.

Analyser som omhandler prosesser som skal benytte eksisterende IT-tekniske løsninger på samme måte som allerede er vurdert tidligere trenger ikke å bli sendt til AEF.

5. Hvem skal godkjenne konsekvensvurderingen og risikoanalysen?

Direktøren i UDI har delegert det daglige ansvaret for behandling av personopplysninger til avdelingsdirektørene. Alle analyser skal derfor godkjennes av en avdelingsdirektør, som dermed aksepterer eventuell restrisiko (dvs. risiko som ikke kan reduseres selv med tiltak).

Analysen skal godkjennes av den avdelingsdirektøren som eier risikoene som er identifisert i analysen (risikoeier). Noen ganger vil det være flere avdelinger som eier ulike risikoer i den samme analysen, og i slike tilfeller skal analysen godkjennes i alle de respektive avdelingene, se punkt 5.1.3 under.

Godkjenningsprosessen er tredelt – foreløpig godkjenning, oppfølging etter den foreløpige godkjenningen, og endelig godkjenning.

5.1 Foreløpig vurdering

En foreløpig vurdering innebærer at avdelingsdirektøren aksepterer prosessen/løsningen og forslaget til hvilke risikoreduserende tiltak som skal prioriteres, samt restrisikoen som er igjen etter at tiltakene er blitt gjennomført.

5.1.1 Analyser som skal vurderes i AEF

Analyser som har betydning for informasjonssikkerheten skal vurderes i AEF.

5.1.2 Analyser som skal vurderes i en annen avdeling

Analyser som ikke har betydning for informasjonssikkerheten skal vurderes av avdelingsdirektøren i den avdelingen som eier risikoene i analysen.

5.1.3 Analyser som skal vurderes i flere avdelinger

Analysen som inneholder risikoer som eies av flere avdelinger skal vurderes i alle de respektive avdelingene. Hvis AEF er en av risikoeierne, skal analysen alltid vurderes i AEF først.

5.2 Oppfølging etter foreløpig vurdering

Avdelingene må ha rutiner for å iverksette de risikoreduserende tiltakene som skal prioriteres. Det skal utpekes en ansvarlig person som skal kontrollere at de prioriterte tiltakene har blitt gjennomført.

5.3 Endelig godkjenning

Ansvarlig person i avdelingen skal rapportere om status for tiltakene til avdelingsdirektøren etter en fastsatt frist. Status på tiltakene skal også dokumenteres i malen.

Hvis alle de prioriterte tiltakene er blitt gjennomført er det ikke nødvendig å vurdere analysen på nytt. Den foreløpige vurderingen vil i disse tilfellene anses som en endelig godkjenning.

Hvis noen tiltak gjenstår eller ikke lar seg gjennomføre, skal avdelingsdirektøren vurdere om restrisikoen er akseptabel og i så fall endelig godkjenne analysen.

6. Lagring og arkivering

Alle vurderinger og analyser skal lagres i UdiSak. Hver avdeling skal opprette en egen sak for hvert år med tittel «Personvernkonsekvensvurderinger og risikoanalyser i «avdelingsnavnårstall»».

Personvernombudet oppretter et eget prosjekt per år med tittel «Personvernkonsekvensvurderinger og risikoanalyser i UDI «årstall»», som sakene i avdelingene skal knyttes til.

 

Kontakt: Regelverksenheten, Analyse- og utviklingsavdelingen

Siste endringer
  • Ny: IM 2019-005 Personvernkonsekvensvurderinger og risikoanalyser for informasjonssikkerhet i UDI (23.08.2019)

    Nye retningslinjer for når og hvordan personvernkonsekvensvurderinger og risikoanalyser knyttet til informasjonssikkerhet skal gjennomføres, vurderes og godkjennes i UDI. Retningslinjene gjelder ikke for risikoanalyser som omhandler andre tema enn informasjonssikkerhet.

Utlendingsdirektoratet
Postboks 2098 Vika
0125 Oslo

Ansvarlig redaktør: Stephan Mo