Er personopplysningane sikre hos Lånekassen?

Vi arbeider kontinuerleg for å beskytte personopplysningar og annan konfidensiell informasjon. For å gjere dette må vi ha ei heilskapleg tilnærming til informasjonstryggleik.

I Lånekassen jobbar vi på fleire måtar for å beskytte dine rettigheiter og dine opplysningar:

  • Tilsette - vi jobbar målretta for å sikre kunnskap, haldningar og bevisstheit og gjennom det redusere menneskelege sårbarheitsfaktorar.
  • Teknologisk – vi jobbar for å sikre at systema er robuste mot eksterne cybertruslar og å redusere sårbarheiter som oppstår gjennom samhandling med tredjepartar og gjennom tilsette si bruk av systema.
  • Organisatorisk – vi jobbar for å sikre at ansvar blir plassert, at risikostyring blir ein del av Lånekassen si verksemd, og at det blir utarbeida rutinar og retningslinjer for sikker informasjonsforvaltning.

Tryggleiksarbeidet inneber også at vi jamleg gjennomgår ulike faktorar som risikoeksponering, tilgjengeleg teknologi, forretningsbehov og lovkrav. I sum bidrar dette til at vi har tidsriktige og effektive tryggleikstiltak som skal forhindre at dine opplysningar og rettigheiter blir trua.

Under følger ei meir konkret beskriving av korleis vi jobbar og kva vi har etablert av tiltak for å beskytte dine opplysningar.

Informasjonsbeskyttelse

Når dine data frå våre tenester blir transporterte over internett, blir dei beskytta med kryptering enten dette er mellom din nettlesar og Lånekassen sine tenester eller på tvers av Lånekassen sine fysiske lokasjonar. Dette hindrar moglegheita for uautorisert tilgang til desse dataa medan dei er under transport.

Når vi behandlar dine opplysningar (eksempelvis prosesserer og lagrar), skjer dette i éi dedikert og åtskilt nettverkssone i våre datasenter kalla sikker sone. Dette er i tråd med Datatilsynet sin rettleiar for tryggleiksarkitektur. I sikker sone blir din personopplysningar isolert frå internett og frå andre administrative løysingar som Lånekassen bruker. Under blir nokre av dei viktigaste sikringsmekanismane som understøtter denne isolasjonen beskrivne.

Tilgangskontroll

Både tilsette, innleigde konsulentar og eksterne samarbeidspartnarar av Lånekassen er underlagt lovbestemt teieplikt. I tillegg skal det føreligge eit tenestleg behov før tilgangar blir tildelt. Dette blir praktisert ved at det er etablert ei rekke ulike roller som gir ulike typar tilgangar. Ved førespurnad om ein ny tilgang, blir tenestleg behov vurdert i forkant av tildelinga. Dersom tilgangen det blir bedt om gir åtgang til skjermingsverdig informasjon vil to uavhengige personar kontrollere at det føreligg eit reelt tenestleg behov.

Lånekassen har også etablert årleg kontroll av tilgangar for å fange opp og eventuelt korrigere avvik.

Teknologiske tiltak

I Lånekassens IT-infrastruktur er det etablert tre tryggleikssoner; sikker-, intern, og ytre sone. I ytre sone finst alle tenester eksponert på internett. I intern sone ligg alle administrative tenester, nettverk og PC-ar, medan alle kundeopplysningar og Lånekassen sine kjerneløysingar ligg i sikker sone. Sikker sone er beskytta lagvis med fleire sikringsnivå:

  • Sikker sone er ikkje eksponert direkte mot eller direkte frå internett
  • Berre førehandsgodkjente PC-ar kan kople seg til Lånekassen sitt nettverk
  • Berre autoriserte brukarar får tilgang til sikker sone
  • Fleire ulike nettverksbarrierar og -teknologiar hindrar at data kan flyte utilsikta eller ukontrollert frå sikker sone til andre soner
  • Saksbehandlarar og andre autoriserte brukarar har som standard ikkje moglegheit til å kopiere kundedata eller annan informasjon frå saksbehandlingsløysinga i sikker sone til ei av dei andre sonene, f.eks. til ein arbeidsstasjon i intern sone
  • To-faktorautentisering er innført for å redusere risiko for at brukarnamn og passord skal komma bort
  • Det er etablert fysisk skalsikring for åtgang til våre lokale
  • PC-ar og serverar er konfigurert etter beste praksis med omsyn til tryggleik (eksempelvis: skadevarevern, krypterte harddiskar, styrt og administrert gjennom tryggleiksprinsipp applikasjonskontroll-løysingar og liknande)

Observasjon, deteksjon og feilsøking

Lånekassen har etablert mekanismar for å observere, detektere og forhindre innbrot og misbruk av våre løysingar og tenester. Desse mekanismane tener fleire formål, å beskytte dine data frå eksterne trusselaktørar, samt å forhindre at interne ressursar misbruker tilliten.

Alle loggar som blir brukt i samband med observering, deteksjon og feilsøking, og som kan vere direkte eller indirekte identifiserande, er lagra i sikker sone og beskytta tilsvarande som personopplysningane.

Handtering av hendingar og kontinuitet

Sjølv med gode førebyggande sikringstiltak, vil det alltid vere ein verande risiko for at noko uønskt kan oppstå. Lånekassen har derfor etablert rutinar for handtering av slike uønskte hendingar. Hensikta er at vi så raskt som mogleg skal kunne forstå, avgrense, handtere og rette situasjonen dersom ei slik hending skulle oppstå.

Du som kunde har også rett på tilgang til dine data. Vi har derfor etablerte prosessar for tryggleikskopiering, slik at tenester så raskt som mogleg kan rettast ved driftsrelaterte hendingar utan tap av data.

Innbrotstesting

For å kontrollere at dei teknologiske sikringstiltaka som blir implementerte fungerer som tiltenkt, gjennomfører Lånekassen blant anna jamlege innbrotstestar. Desse blir gjennomført av profesjonelle tredjepartar og gir Lånekassen ei god rettesnor på om vi er sårbare for eksterne trusselaktørar.