§ 15. Prinsipper ved valg og utforming av sikkerhetstiltak

Når en virksomhet velger ut og utformer sikkerhetstiltak, skal følgende prinsipper legges til grunn:

a.
Sikkerhetstiltakene skal ikke ha en annen funksjonalitet eller større kompleksitet enn nødvendig.
b.
Det skal ikke gis en mer omfattende tilgang til skjermingsverdige verdier enn nødvendig.
c.
Svikt i ett enkelt tiltak skal ikke kunne føre til kompromittering av skjermingsverdige verdier.
d.
Sikkerhetstiltak skal i minst mulig grad være avhengige av hverandre, og flere sikkerhetstiltak skal dermed ikke kunne svekkes eller settes ut av funksjon samtidig, for eksempel som følge av én enkelt feil eller hendelse.
e.
Effekten av sikkerhetstiltakene skal være tilnærmet lik for alle skjermingsverdige verdier med samme sikkerhetsbehov.

Sikkerhetstiltakene skal være samordnet. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket.

En virksomhet skal ikke bruke mer inngripende sikkerhetstiltak enn nødvendig for å håndtere en aktuell risiko. Virksomheten skal her særlig ta hensyn til enkeltpersoners rettssikkerhet og personvern. Det skal ikke behandles personopplysninger i større grad enn det som er nødvendig ut fra formålet med sikkerhetstiltaket.

Når et sikkerhetstiltak kan gripe inn i enkeltpersoners rettssikkerhet eller personvern, skal virksomheten kunne dokumentere hvorfor inngrepet er nødvendig.