Hopp til innhold

Høyt sikkerhetsnivå og få avvik

Realisering av Ruters strategier for kollektivtransporten krever pålitelige tjenester som kundene har tillit til, med et høyt sikkerhetsnivå for å beskytte kundenes og selskapets verdier.

Ung kvinne og hennes golden retriever sitter i en t-banevogn, med kvinnen som klapper hunden.

Foto: Ruter As / Fartein Rudjord

Hvorfor er temaet vesentlig?

Ruter vil fremover behandle en økende mengde personopplysninger, samtidig som truslene mot informasjonssikkerhet fra eksterne aktører er økende. For å sikre stabil drift av virksomhetens tjenester, tillitt hos innbyggerne og kundenes rett til å bestemme over egne personopplysninger, må selskapet ha evne til å forebygge, oppdage og begrense konsekvensene av uønskede hendelser.

GRI-indikatorer

418-1: Saker om brudd på kundenes personvern og tap av kundedata. Ruter skal identifisere hvor sakene kommer fra: kundeklager, organisatorisk organ eller saker vil selv har identifisert.

Egendefinert indikator: Alvorlige informasjonssikkerhetshendelser

Data om våre kunder, reiseadferd, kontrakter og operatørdata beskyttes gjennom tiltak som sikrer tilstrekkelig grad av konfidensialitet, integritet og tilgjengelighet i henhold til god informasjonssikkerhetspraksis.

Formålet med informasjonssikkerhet og personvern i Ruter er:

  • Ivareta kundenes personvern og lovkrav i personopplysningsloven og GDPR, og med fokus på å sikre informasjonen til våre kunder og ansatte.
  • Ivareta endringsevne i organisasjonen som samtidig oppfyller krav til pålitelighet, stabilitet og sikkerhet i tjenestene.
  • Beskytte Ruters informasjon og informasjonssystemer mot tyveri og misbruk.
  • Levere pålitelige tjenester med korrekt informasjon som våre kunder og ansatte kan stole på.
  • Levere stabile tjenester som er tilgjengelig for våre kunder og ansatte når de trenger det.
  • Ha tilstrekkelig kunnskap og kompetanse til å ivareta et akseptabelt risikonivå, herunder redusere muligheten for, og konsekvensen av, sikkerhetshendelser og avvik.
  • Ivareta tilstrekkelig kontinuitet for Ruters tjenester dersom større sikkerhetshendelser skulle inntreffe.
Brudd på kundenes personvern og tap av kundedata i 2023:
2
Alvorlige informasjonssikkerhetshendelser i 2023:
4

Redusert tilgjengelighet av Ruters hjemmeside i en begrenset periode på grunn av angrep

Evaluering

Informasjonssikkerhetsarbeidet følger styringssystemet for Informasjonssikkerhet (ISMS), som er basert på kontrolltiltak beskrevet i ISO 27001. Vi utfører egenevaluering av tiltakene årlig, og en ekstern vurdering regelmessig eller ved behov.

Ekstern vurdering utføres av anerkjente aktører innenfor fagområdet. Evalueringene benyttes for å avdekke eventuelle svakheter, og som innspill til arbeid med tekniske og organisatoriske tiltak.

Organisering

Ruter er produktorganisert med flere uavhengige utviklingsteam. Organiseringen av Informasjonssikkerhet speiler denne organiseringen. Vi har et sentralt koordinerende team styrket med representanter, Security Champions, i hvert utviklingsteam. Dette gir en bred forankring for informasjonssikkerhet i organisasjonen.

Denne organiseringen har vist seg å være effektiv for å raskt kunne håndtere hendelser. Ruter har i tillegg tett samarbeid med sikkerhetsorganisasjonene hos våre IT-leverandører, og deres Security Operations Center (SOC).

Opplæring

Opplæring i personvern gjennomføres for kundeservice, utviklingsmiljøer og andre team som behandler personopplysninger, for eksempel TT. Ruter har i 2023 i tillegg hatt fokus på en gjennomlysning av oppsettet av skytjenester for å kunne sikre godt personvern og informasjonssikkerhet også ved bruk av skytjenester.

Opplæring i informasjonssikkerhet for ansatte og innleide generelt gjennomføres årlig gjennom opplæringsprogram under sikkerhetsmåneden, i tillegg til gjennomgang av sikkerhetsrutiner ved ansettelse.

Anti-korrupsjon og etterlevelse

Ruter er en offentlig eid virksomhet som på vegne av eierne forvalter viktige samfunnsoppgaver og store verdier. Etisk forsvarlig opptreden hos alle som jobber i eller opptrer på vegne av Ruter, er derfor svært viktig.

Behandling av personopplysninger i Ruter

Ruter behandler i dag personopplysninger knyttet til om lag 400 000 registrerte kunder som har opprettet en profil. Selskapet har rutiner og instrukser for behandling av personopplysninger som skal sikre etterlevelse av regelverket.

Behandlingen og kompleksiteten av behandlingen er økende. Det er særlig på grunn av tilbud om nye kundetilpassede mobilitetstjenester og behovet for behandling av nye opplysningstyper, som for eksempel de reisendes geografiske posisjon.

Ruter fører oversikt over sin behandling av personopplysninger, med blant annet beskrivelse av formålet, opplysningstyper og system knyttet til den enkelte behandling. Vi vurderer personvernkonsekvenser og utfører risikovurderinger ved innføring av nye tekniske løsninger for å sikre innebygd personvern, og har etablert et system for internkontroll etter personopplysningsloven/GDPR.

Ruters personvernerklæringer beskriver behandlingen av kundenes personopplysninger knyttet til de ulike tjenestene vi tilbyr. Det er informasjon om bruk av informasjonskapsler på Ruters hjemmesider. Ruter har inngått databehandleravtaler med underleverandører som behandler personopplysninger på Ruters vegne. Vi er i kontinuerlig dialog med samarbeidspartnere med tanke på roller og ansvar for dataflyt knyttet til kundenes personopplysninger.

Medarbeidere som behandler personopplysninger, får opplæring i personvernreglene.