§ 6-4. Overvåking av skjermingsverdige informasjonssystemer

Virksomheten skal kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge, avdekke og motvirke hendelser som kan skade nasjonale sikkerhetsinteresser. Hendelser som er relevante for sikkerhetsarbeidet, skal registreres.

I den grad formålet med overvåkingen krever det, skal sending av informasjon til, fra og innenfor skjermingsverdige informasjonssystemer registreres, lagres og analyseres.

Informasjonssystemer som behandler personopplysninger, skal bare overvåkes med de metodene og i det omfanget som formålet med overvåkingen krever.

Informasjon etter første og andre ledd kan lagres i opptil fem år. Lagrede personopplysninger kan bare benyttes i den grad formålet med overvåkingen krever det.

Flere virksomheter som er tilknyttet samme informasjonssystem, kan avtale at en av virksomhetene skal ta seg av overvåkingen etter første og andre ledd for alle virksomhetene. Den virksomheten som gjennomfører overvåkingen, skal sikre at kravene til informasjonssikkerhet i § 5-2 følges.

Virksomheten skal se til at autoriserte brukere av informasjonssystemer som overvåkes, får vite hva som er formålet med behandlingen av personopplysningene og hvilke overvåkingstiltak som er iverksatt. De skal også få vite om personopplysningene blir utlevert og i så fall til hvem.

Kongen kan gi forskrift om overvåking av skjermingsverdige informasjonssystemer, blant annet om

a.
hva slags informasjon som kan eller skal registreres, lagres og analyseres i forbindelse med overvåkingen
b.
hvem som skal ha tilgang til informasjon som er registrert og lagret i forbindelse med overvåkingen
c.
hvordan tilgang til registrert eller lagret informasjon skal gis
d.
at informasjonen etter første og andre ledd skal ha en annen lagringstid enn fem år.