Endelig kontrollrapport

Transkript

1 Saksnummer: 10/00525 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: KRIPOS Sted: Oslo Utarbeidet av: Cecilie Rønnevik, seniorrådgiver Helge Veum, avdelingsdirektør 1 Innledning Datatilsynet gjennomførte en kontroll hos KRIPOS, den 17. og 25. juni Temaet for kontrollen var Politiets behandling av personopplysninger i forbindelse med Schengen informasjonssystem. Kontrollen ble utført t med hjemmel i lov om Schengen informasjonssystem (SIS-loven) 22 jf 21. Kontrollen fant sted ved Østfold Politidistrikt, Vansjø lensmannskontor, Moss lufthavn (Moss lufthavn i det videre) og ved Sirenekontoret i KRIPOS. Begge kontrollbesøkene omhandles i foreliggende rapport. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. I tillegg til SIS-loven reguleres behandlingen av personopplysninger av forskrift til lov om Schengen informasjonssystem (SIS-forskriften). 1 av 13

2 Rapportens innhold 1 Innledning Tilstede under kontrollen Fra Østfold politidistrikt: Fra KRIPOS: Fra Datatilsynet: Generelt om Schengen Informasjonssystem Kort om bruk av personopplysninger samt formålet med behandlingene Funn og avvik fra lovbestemte krav til behandling av personopplysninger Innsyn Internkontroll Informasjonssikkerhet - planlagte og systematiske tiltak Logging Tilgang til opplysninger i SIS gjennom politiets fagapplikasjoner Konfigurasjonskontroll N-SIS-klient Konfigurasjonskontroll Tilgang for UDI Saksbehandlers bruk av SIS ved KRIPOS Sikring av tilgjenglighet Bruk av databehandler Tilstede under kontrollen 2.1 Fra Østfold politidistrikt: - Christian Dyrop, ikt-leder - Marianne Norum, it-konsulent - Anders Lia, politiførstebetjent - Per Tore Fremstad, politioverbetjent - Erik Ulfeng Hansen, administrasjonssjef 2.2 Fra KRIPOS: - Ketil Haukaas, assisterende sjef, KRIPOS - Pål Inge Brækken, ass. avdelingsleder - Rune Vidar Bråthen, seniorrådgiver - Stein Damman, it-/ sikkerhetsleder - Ragnhild Aas, stedfortreder for seksjonsleder - Heidi M. Pedersen, seniorrådgiver - Paul H. Johansen, konsulent, PDMT - Vladimir Milic, prosjektleder SIS II, PDMT 2 av 13

3 2.3 Fra Datatilsynet: - Helge Veum, senioringeniør - Cecilie Rønnevik, seniorrådgiver 3 Generelt om Schengen Informasjonssystem Norge er ett av 25 land som deltar i Schengensamarbeidet, formalisert gjennom Schengenkonvensjonen. Hovedformålet med samarbeidet er å avskaffe personkontrollen på de indre grenser (dvs mellom deltagerlandene). Schengenlandene samarbeider om grensekryssende kriminalitet og ulovlig innvandring. Schengen informasjonssystem, SIS, er et tiltak som skal kompensere for manglende personkontroll. Systemet skal medvirke til en rask og sikker utveksling av opplysninger om etterlyste personer og gjenstander innen Schengen-området. Hvert medlemsland har en enhet som er ansvarlig for SIS, det såkalte SIRENE-kontoret (Supplementary Information REquest at the National Entries). Dette er ansvarlig for å påse at driften av informasjonssystemet på nasjonalt nivå overholder internasjonale konvensjoner og nasjonalt regelverk. I Norge ligger SIRENE-kontoret ved KRIPOS I Norge trådte lov om Schengen Informasjonssystem (SIS-loven) i kraft 1. januar Lovens formål 1 er å gi regler for den nasjonale behandlingen av personopplysninger i forbindelse med SIS, herunder ivareta hensynet til personvern 2. Nærmere bestemmelser er gitt i forskrift om Schengen informasjonssystem (SIS-forskriften). Loven plasserer det nasjonale registeransvaret for SIS hos KRIPOS 3. KRIPOS er et nasjonalt kompetansesenter for norsk politi, med hovedformål å bekjempe og avdekke organisert og annen alvorlig kriminalitet. På kontrolltidspunktet var det 18 ansatte ved SIRENE-kontoret. Datatilsynet er gitt kompetanse til å føre tilsyn med den nasjonale behandlingen av personopplysninger i SIS 4. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Ved Sirenekontoret behandles enkeltsaker i henhold til behandlingsreglene gitt i Schengenkonvensjonens artikkel Bestemmelsene gir nærmere regler for hvilke opplysninger som kan registreres i SIS, og på hvilke vilkår registreringen kan skje. 1 SIS-lovens 1. 2 Personopplysningsloven gjelder ikke ved behandling av personopplysninger som skjer i medhold av rettspleielovene, herunder straffeprosessloven (personopplysningslovens 3 jf forskriftens 1-3) 3 SIS-lovens 2 4 SIS-lovens 21 3 av 13

4 Opplysninger fra SIS gjøres tilgjengelig i følgende fagsystem: - ELYS II er applikasjonen for bruk av SIS i Politidistriktene. SIS informasjon er her integrert med norske etterlysninger og Interpol-etterlysninger - Agent PO-Agent - GK er applikasjonen for bruk ved grensekontroll dette systemet er direkte tilknyttet SIS - N-SIS er den tidligere applikasjonen for bruk av SIS. Det kan ikke gjøres registreringer fra N-SIS lengre - UDI har en egen fagapplikasjon, som er direkte tilknyttet SIS. - AUTOSYS er trafikkmyndighetenes register. Dette oppdateres ved at det overføres uttrekk over det innhold som vegmyndighetene har lovlig tilgang til. Det foreligger altså ingen direkte tilknytning mot SIS. - 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Innsyn Krav i regelverket I henhold til SIS-lovens 15 har den registrerte rett til å få opplyst hvilke opplysninger om seg som er registrert i SIS. Fra denne retten gjøres det en rekke unntak i bestemmelsens annet og tredje ledd. Eventuell klage på manglende innsyn kan påklages til Politidirektoratet, som skal legge saken frem for Datatilsynets uttalelse før klagen avgjøres, jf Funn KRIPOS bekreftet at det har mottatt en rekke innsynsbegjæringer 5. Av disse er det også flere avslag, som igjen blir påklaget. Klagene oversendes da til POD som klageorgan Konklusjon Ingen avvik er konstatert. 5.2 Internkontroll Krav i regelverket SIS-loven 4 og SIS-forskriften 7-1 stiller krav om at den registeransvarlige skal etablere og holde vedlike planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i loven. Tiltakene skal være dokumenterte og tilgjengelige. 5 I tilbakemelding på foreløpig rapport angitt til omtrent 10 begjæringer årlig 6 I tilbakemelding på foreløpig rapport ble det pekt på fem konkrete saker i perioden 2003 til 2008 hvor Datatilsynet var blitt bedt om å gi uttalelse. 4 av 13

5 5.2.2 Funn Ansvarsforhold - KRIPOS og politidistriktene KRIPOS har i utgangspunktet ingen instruksjonsmyndighet overfor politidistriktene. Det foreligger ikke noe overordningsforhold mellom KRIPOS og politidistriktene. KRIPOS er administrativt underlagt Politidirektoratet (POD), på lik linje med det enkelte politidistrikt. KRIPOS uttrykte selv misnøye med ansvarsforholdene, idet det ble vist til at Politidirektoratet - som overordet forvaltningsorgan - har instruksjonsmyndighet overfor både KRIPOS og det enkelte politidistrikt. Det var ikke klart i hvilken grad KRIPOS hadde myndighet til å instruere distriktene og øvrige særorgan direkte. KRIPOS søker i dag å ivareta sitt ansvar for behandlingen i politidistriktene gjennom Brukerinstruksen, som er utarbeidet i samarbeid med POD. Det avholdes i tillegg årlige kontaktmøter mellom KRIPOS og politidistriktene. Det er også utpekt kontaktpersoner både for internasjonalt arbeid og ELYS II i det enkelte politidistrikt, for å sikre god kommunikasjon mellom KRIPOS og distriktene. Kontaktpersoner for ELYS II har blant annet har ansvar for opplæring i bruk av systemet i distriktene Ansvarsforhold KRIPOS og UDI KRIPOS har i utgangspunktet ingen instruksjonsmyndighet overfor UDI. Ansvarsforholdene mellom KRIPOS og UDI var ikke dokumentert. Det fremstod dermed som uklart hvem som skulle sørge for at de ulike krav i regelverket ble ivaretatt, herunder hvem som skulle sørge for at SIS-forskriftens krav om logging ble oppfylt, jf. rapportens 5.6. KRIPOS uttrykte at det var problematisk å instruere et annet forvaltningsorgan, underlagt et annet departement Styrende dokumenter KRIPOS har et etablert et kvalitetssystem. Systemet består av Kriposnøkkelen (prosessdiagrammer), EK Kriposbibliotek (dokumentstyringsverktøy) og Delta avikssystem. Styrende dokumenter og rutiner i tilknytning til SIS skal også inn i kvalitetssystemet. KRIOS hadde utarbeidet en retningslinje om ansvar 8 generelt og de ulike rollene KRIPOS har i den sammenhengen. Videre var intern delegering av oppgaver for de ulike registrene dokumentert. Videre dokumentasjon på styrende nivå var ikke utarbeidet, utover at dette delvis fremgår av instruks og rundskriv omtalt nedenfor Gjennomførende rutiner Det var etablert gjennomførende rutiner for KRIPOS sin behandling av personopplysninger i SIS. 7 Etter kontrollen er ansvaret for Utlendingsdirektoratet (UDI) flyttet til Justis- og beredskapsdepartementet, og KRIPOS og UDI er nå underlagt samme departement. 8 Kripos ansvar og oppgaver knyttet til bruk og forvaltning av politiets sentrale ikt-systemer og til behandlingsansvar, DokumentID av 13

6 Knyttet til bruken av SIS i distriktene forholdt brukerne seg til følgende dokumenter: - Instruks fra KRIPOS oppgaver og retningslinjer for behandling av personopplysninger og objekter i det sentrale etterlysningsregisteret (ELYS II) Nr 1/ Rundskriv 2008/007 fra Politidirektoratet - Rundskriv 2004/003 fra Politidirektoratet Av instruksen fra KRIPOS gikk det frem at politimestrene skal gi retningslinjer i henhold til instruksen 9. Videre at distriktet har en internkontroll bestående minimum av enkelte konkrete rutiner 10. Det ble ikke fulgt opp av KRIPOS om distriktene faktisk ivaretok disse kravene 11. Det var under kontrollen dialog om hva som fremstår som nødvendig for distriktene å utarbeide, og hva KRIPOS kan tilrettelegge gjennom ferdige rutiner. Ved Moss lufthavn var det ikke etablert egne rutiner. Det ble opplyst at de fant instruks og rutiner dekkende for gjennomføringen av tjenesten. Det gikk imidlertid frem at materialet fremstod som fragmentert da det var utstedt både av POD og KRIPOS for det samme tjenesteområde Kontrollerende rutiner Etter instruksen fra KRIPOS av skal avvik knyttet til SIS (ELYS II) behandles ved de enkelte distriktene. Avvik knyttet til funksjonalitet og avvik i andres behandling av personopplysninger skal meldes KRIPOS, og avvik knyttet til teknisk drift skal rapporteres til PDMT, hvorpå PDMT underretter KRIPOS ved alvorlige avvik. Datatilsynet ba om at de siste 100 avvik registrert ved KRIPOS knyttet til SIS skulle fremlegges. Slike var ikke registrert. For kontrollerende aktiviteter i internkontrollen opplyste Kripos i oversendelsen at det ikke var en systematisk oppfølging ( dette har blitt benyttet i varierende grad ved Kripos. ), man at det skulle implementeres i KRIPOS-nøkkelen ved innføringen av et nytt avvikshåndteringssystem ved KRIPOS. Ved Moss Lufthavn ble det opplyst at de ikke hadde hendelser som de kategoriserte som avvik. Kripos Kontrollerer årlig at distriktene har foretatt en gjennomgang av autorisasjoner og brukerroller i ELYS II, herunder tilgang til SIS gjennom ELYS II-applikasjonen Instruksens kapittel 2 10 Instruksens kapittel Dette bekreftes av KRIPOS i tilsvar til foreløpig rapport. I tillegg bemerkes: Den eventuelle mangelen på oppfølging må imidlertid ses i sammenheng med PODs overordnede etatstyrings- og inspeksjonsansvar, samt de forhold som er drøftet under varsel om vedtak nr 1, jf. rapportens punkt Disse forholdene er nå avklart med POD. 12 Opplyst i KRIPOS tilsvar til foreløpig kontrollrapport 6 av 13

7 Det var etablerte rutiner for melding av tekniske feilsituasjoner både via IKT v/ Kripos og til PDMT. Både IKT v/kripos og PDMT har jourtjeneste for å håndtere feil knyttet til SIS/Sirene. Dette innebefatter avvik av alle typer tekniske feil, også eksempelvis sikring av tilgjengelighet og konfidensialitet, samt oppetid i systemene. Melding om tekniske feil/avvik, registreres både i feilhåndteringssystemet ved IKT v/kripos og PDMT. For disse avvikene kan det tas ut rapporter Konklusjon Ansvar KRIPOS har gjort enkelte avklaringer av eget ansvar for opplysninger som behandles i og i tilknytning til SIS. Datatilsynet slutter seg ikke til de avgrensinger som er gjort med hensyn til de behandlinger som skjer i politidistriktene. Datatilsynet er ikke enig i at KRIPOS mangler nødvendig instruksjonsmyndighet. Tilsynet peker i den forbindelse på at registeransvaret påhviler KRIPOS i medhold av lov. Det er en nødvendig forutsetning for å kunne ivareta dette ansvaret at KRIPOS har instruksjonsmyndighet. Ansvar og myndighet må tilligge samme subjekt. Datatilsynet er av den oppfatning at instruksjonsmyndighet som er nødvendig for å ivareta lovens krav følger direkte av SIS-lovens 2. Datatilsynet legger etter dette til grunn at KRIPOS er ansvarlig for behandlingen som gjennomføres ved politidistriktene, og at KRIPOS derved har både rett og plikt til å instruere politidistriktene i deres behandlinger. Utilstrekkelige avklaringer knyttet til ansvar er et avvik fra krav om internkontroll etter SISloven Generelt For den pratiske bruken av SIS er det fastsatt rutiner gjennom instruks av for bruk av SIS i distriktene, og gjennom interne rutinene for bruk ved KRIPOS. Datatilsynet har ikke negative merknader til innholdet i disse. De bemerkes imidlertid at det fremstod som noe fragmentert for distriktene at det var ulike parter som ga rutiner for ett fagområde. I instruksen stilles det krav om at det etableres internkontroll ved distriktene. Det gikk ikke frem i hvilken grad det er behov for å lage ytterligere gjennomførende rutiner ved distriktene da krav til gjennomføring fremgår av instruks m.v. Det anbefales at det konkretiseres for distriktene hva som faktisk skal utarbeides, og at det gis maler for slik bruk. Datatilsynet vurderer at det spesielt er kontrollerende rutiner, og da i form av sjekklister, periodiske rutiner og kontrollskjema som det er behov for ved distriktene. Dette forutsatt at den faktiske bruken er tilstrekkelig regulert i sentrale rutiner. 13 Opplyst i KRIPOS tilsvar til foreløpig kontrollrapport innebærer også presisering i tilhørende konklusjon. 7 av 13

8 Oppfølging av om regelverket og fastsatte rutiner følges var ikke i tilstrekkelig grad implementert. Herunder ved at distriktenes kontrollerende aktiviteter ikke i tilstrekelig grad ble fulgt opp 14, og ved at et ikke var etablert et funksjonelt avvikshåndteringssystem. Dette er et avvik fra kravet om internkontroll etter SIS-loven 4. Det var etablert rutiner både ved KRIPOS og PDMT for å håndtere tekniske feilsituasjoner. 5.3 Informasjonssikkerhet - planlagte og systematiske tiltak Krav i regelverket SIS-loven 3 stiller krav om at den registeransvarlige og databehandleren sørger for tilfredsstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak. Utfyllende bestemmelser er gitt i SIS-forskriften kapittel 7. SIS-forskriften 7-3 stiller krav om sikkerhetsledelse gjennom utarbeidelse av sikkerhetsmål og sikkerhetsstrategi, samt regelmessige gjennomganger av informasjonssikkerheten. 7-6 stiller krav om at det gjennomføres sikkerhetsrevisjoner. Informasjonssystemet skal vurderes med hensyn til risiko i samsvar med SIS-forskriften Funn Uavhengig av kontrollen var det gjennomført en ekstern revisjon med informasjonssikkerheten i KRIPOS. Virksomheten hadde i den sammenheng konstatert at det var avvik knyttet til styringssystem for informasjonssikkerhet (planlagte og systematiske tiltak). Det ble også henvist til initiativ fra Justisdepartementet, samt til funn gjort av Riskrevisjonen i sektoren. På bakgrunn av egne undersøkelser og initiativ fra Justisdepartementet var det igangsatt et prosjekt for å etablere styringssystem basert på ISO serien av standarder. Innføringen av styringssystemet gjelder generelt for justissektoren og følger retningslinjer utarbeidet av POD. Virksomheten var i gang med kartlegging av behandlinger og opplysninger, og gjennomføringer av risikovurderinger var planlagt til høsten Det var ikke gjennomført sikkerhetsrevisjoner. Bruk av risikovurderinger fremstod som mangelfull, og det ble konkret verifisert at det ikke var gjennomført risikovurdering knyttet til tildeling av tilganger til SIS. Matrise for risikovurderinger var ferdig utarbeidet. Det ble opplyst at det forekom noe bruk av usikrede kommunikasjonsmidler som telefax og e- post. Dette var imidlertid ikke knyttet til kontrollens fokus SIS. 14 Det ble i tilbakemelding på foreløpig rapport presisert at det følges opp om distriktet har gjennomført egen gjennomgang av autorisasjoner og brukerroller. 8 av 13

9 Nærmere gjennomgang ble ikke gjort under kontrollen da virksomheten på selvstendig grunnlag hadde iverksatt en hensiktsmessig prosess Konklusjon At KRIPOS ikke har etablert planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet er et avvik fra SIS-loven 3, jf. SIS-forskriften kapittel 7, herunder 7-3 om sikkerhetsledelse og 7-4 om risikovurderinger. Det bemerkes positivt at tiltak var iverksatt for å korrigere forholdet uavhengig av kontrollen. Da virksomheten var i en prosess med utarbeidelse, ble det ikke gjort nærmere gjennomgang av ivaretakelse av konkrete systematiske plikter. 5.4 Logging Krav i regelverket SIS-loven 3, jf SIS-forskriften 7-8 stiller krav om at alt bruk av informasjonssystemet registreres (logges). Logger er sikkerhetstiltak etter SIS-forskriften 7-14 som skal gjøre det mulig å avdekke uautorisert bruk av informasjonssystemet. Tiltaket knytets mot kravet om konfidensialitetssikring etter Funn 15 Det var etablert logging med enkelte begrensinger for oppslag i SIS. Loggen ble ikke systematisk benyttet i sikkerhetsarbeidet, og det var heller ikke lagt til rette for slik bruk. De som autoriserer brukere i SIS hadde ikke tilgang til logg for kontrollformål. Det var iverksatt tiltak for å legge til rette for bruk av loggene, og første fase var klart for idriftsettelse. Det var ikke informasjon i loggene slik at disse kunne knyttes til lokasjon (geografisk eller administrativt) for oppfølging i ansvarslinjen. Som eksempel kunne det i følge med kontrollen ikke fremlegges logg over de siste 100 oppslag fra KRIPOS. En produksjon av en slik logg måtte gjøre som en særskilt prosess i PDMT som ikke var klargjort. Loggingen var todelt. Enten knyttet til spørringer mot SIS, eller til fagapplikasjonene som ble benyttet for oppslag og registrering i SIS. For bruk av ELYS II, som fremstår som hovedapplikasjonen ved generelle oppsalg, var det etablert logging. Ved bruk av N-SIS-klienten logges BID (Bruker-ID, men fellesbruker), søkeparametre og tidspunkt. Loggen inneholder ikke individuell brukerinformasjon, men tjenestested (jusenhet/distrikt) kan finnes ved å sjekke fellesbruker. 15 Kapitlets innhold er endret etter KRIPOS tilbakemelding til foreløpig kontrollrapport. 9 av 13

10 For bruk av GK logges søkene både gjennom ELYS II og i applikasjonen GK. Søk mot SIS fra Agent går ikke via ELYS II, og det er ikke logg som inneholder informasjon om hvem som har gjennomført søket. Det kunne ikke gjøres rede for om registerbruk av UDI ble logget. Det var imidlertid klart at slik logging ikke ble foretatt av KRIPOS. Forholdet var heller ikke regulert i avtale med UDI (som avtale etter SIS-forskriften 7-15). Det er etter kontrollen gjort rede for at registerbruk gjennomført av UDI logges i UDIs fagapplikasjon DUF Konklusjon Det er et avvik fra SIS-loven 3, jf. SIS-forskriften 7-8 at det ikke er etablert logging av oppslag i SIS dersom dette gjøres gjennom andre fagsystem enn ELYS II. Det er videre et avvik fra samme bestemmelse at gjennomførte søk ikke logges der hvor personopplysninger fra SIS fremkommer i søket. Det er videre et avvik fra SIS-forskriften 7-14 at loggene ikke kan presenteres i et hensiktsmessig format til bruk i sikkerhetsarbeidet. Dette ved at det ikke kan gis rapporter på lokasjon tilpasset nivået autorisasjoner gis. 5.5 Tilgang til opplysninger i SIS gjennom politiets fagapplikasjoner Krav i regelverket SIS-forskriften 1-6 Tilgang til SIS / bemyndigelse oppstiller rammer for den tilgang som kan gis i SYS. Følgende følger av 1. ledd: Tilgang til SIS (rett til direkte søk) skal kun gis til personer som har fått særskilt bemyndigelse. Slik bemyndigelse skal bare gis til kvalifiserte personer som har gjennomgått opplæring. Den registeransvarlige utarbeider retningslinjer om de nærmere kvalifikasjonskravene. Tilgangsstyring er videre nødvendig for å ivareta tilfredsstillende konfidensialitetssikring i samsvar med SIS-loven 3, jf. SIS-forskriften Funn SIS er tilgjengelig gjennom applikasjonene ELYS II og GK, i tillegg N- SIS. Rettigheter til SIS opplysninger tildeles etter autorisasjon av leder i politidistriktene. Under verifikasjon ved Moss lufthavn gikk det frem at samtlige polititjenestemenn kunne gjennomføre søk i registeret, mens 1 til 2 personer ved hver stasjon kunne registrere (inkludert slette / avlyse). Det hadde blitt gitt opplæring i bruk av SIS og rutiner for dette. Ved KRIPOS ble det bekreftet at en normal tilgang var at enhver som driver politirelatert arbeid kunne søke i SIS. 16 I KRIPOS tilsvar til foreløpig kontrollrapport 10 av 13

11 For praksisen for tildeling av tilgang til SIS var ikke gjennomført risikovurderinger eller andre vurderinger av om praksisen var akseptabel. Det var utarbeidet og distribuert rutiner instruks for politi og utlendingsmyndighet med nærmere retningslinjer for kvalifikasjonskrav til de som bemyndiges tilgang til Schengen Informasjonssystem. Dette var gitt i instruksen av (oppdatering av instruks av 2001). Instruksen gir retningslinjer for hvilke kvalifikasjonskrav som tilfredsstiller tilgang til SIS. I instruks fra Kripos av gjentas kvalifikasjonskrav som stilles for tilgang til ELYS II - det sentrale etterlysningsregisteret - både i form av krav om opplæring og tjenestelige behov. 17 Det var videre under kontrollen en viss diskusjon om intensjonen med kravet om begrenset tilgang etter forskriftens Konklusjon Datatilsyner er spørrende til om praksisen med at enhver som bedriver politirelatert arbeid gis tilgang til opplysninger fra SIS er i samsvar med kravet om særskilt bemyndiget personell i SIS-forskriften Det vurderes som et avvik fra kravet om internkontroll etter SIS-loven 4 at det ikke var avklart hvilken tilgang som kan gis til SIS. 5.6 Konfigurasjonskontroll N-SIS-klient Krav i regelverket SIS-forskriften 7-7 stiller krav om at informasjonssystemet konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres, og ikke endres uten autorisasjon fra den registeransvarlige. Konfigurasjonskontroll etter 7-7 er nødvendig blant annet for å ivareta krav om konfidensialitetssikring etter 7-11 og sikkerhetstiltak etter Funn 19 Oversendt dokumentasjon fra KRIPOS før kontrollen beskrev en tilgang til SIS gjennom ELYS II og GK. Det ble gjort rede for at N-SIS-klienten var utfaset som registreringssystem. Under verifikasjon ved Moss lufthavn gikk det frem at N-SIS-klienten var tilgjengelig og ble benyttet for enkelte typer søk, og dersom ELYS II skulle være utilgjengelig. 17 Supplert etter KRIPOS tilbakemelding på foreløpig kontrollrapport 18 Korrigert fra konstatering av avvik til at Datatilsynet stiller seg spørrende til om samsvar. Dette på bakgrunn av Kripos sitt tilsvar til foreløpig kontrollrapport og en nærmere gjennomgang av forarbeidene (Ot.prp.nr.56 (98-99), pkt ) om hvilken tilang som kan gis. 19 Presisert etter tilbakemelding. Omtalen omhandler N-SIS-klienten og ikke N-SIS, og N-SIS-klienten er utfaset som registreringssystem. 11 av 13

12 Under kontrollen ble det fra KRIPOS opplyst at N-SIS-klienten var tilgjengelig uten registreringsmulighet i tilfelle driftsstans for ELYS II. Manglende logging ved bruk av N-SIS-klienten er beskrevet i avsnittet 5.4 om logging Konklusjon Ved oversendelse av dokumentasjon fremgikk det ikke klart at N-SIS-klienten fremdeles var tilgjengelig for bruk i politiet 20. Manglende kontroll med hvilke applikasjoner som gir tilgang til SIS er et avvik fra krav om konfigurasjonskontroll etter SIS-forskriften 7-7. En konsekvens av den manglende konfigurasjonskontrollen er at antatte sikkerhetstiltak, som logging, i realiteten ikke kan sies å være etablert for SIS, jf. rapportens omtale i kapittel Konfigurasjonskontroll Tilgang for UDI Krav i regelverket SIS-forskriften 7-7 stiller krav om at informasjonssystemet konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås. Konfigurasjonen skal dokumenteres, og ikke endres uten autorisasjon fra den registeransvarlige. Forskriftens 7-15 stiller krav om sikkerhet hos andre virksomheter. Herunder at det etableres klare ansvars- og myndighetsforhold ovenfor kommunikasjonsparter, og at den registeransvarlige forsikrer seg om at sikkerhetsstrategien hos kommunikasjonsparten gir tilfredsstillende informasjonssikkerhet Funn Det kunne ikke gjøres rede for tiltak med hensyn til logging eller tilgangsstyring for oppslag gjennomført av UDI. Det var ikke etablert avtaler mellom KRIPOS og UDI som regulerte logging for oppslag, og eventuelt hvem av virksomhetene som skulle etablere og holde vedlike sikkerhetstiltaket. KRIPOS opplyste at det ikke fremstod som klart om KRIPOS var ansvarlig for sikkerhetstiltak for UDIs bruk av registeret. 20 Det er i tilbakemeldingen presisert at dette imidlertid har vært klart for Kripos og PDMT, og konfigurasjonskontroll med hensyn til denne problemstillingen må antas å være etablert på tidspunkt for endelig kontrollrapport. 12 av 13

13 5.7.3 Konklusjon 21 Datatilsynet vurderer det som klart at plikten til å etablere sikkerhetstiltak som følger av SISforskriften kapittel 7 påhviler KRIPOS som registeransvarlig, jf. SIS-loven 2 og 3. Manglende oversikt over rekkevidden av KRIPOS sitt ansvar og plikter etter SIS-loven og SIS-forskriften er et avvik fra kravet om internkontroll etter SIS-loven 3. Manglende kontroll med hvorvidt og eventuelle hvilke sikkerhetstiltak som er etablert for UDI sin bruk av SIS er et avvik fra krav om konfigurasjonskontroll og regulering av sikkerhet hos andre virksomheter etter SIS-loven 3, jf. SIS-forskriften 7-7 og Saksbehandlers bruk av SIS ved KRIPOS Under verifikasjon gjorde Datatilsynets innsyn i hvordan saksbehandler gjennomførte administrative oppgaver i registeret. Det ble her benyttet et tilpasset fagsystem, og løsningen og praktisk bruk fremstod som ryddig. 5.9 Sikring av tilgjenglighet Sikring av tilgjengelighet ble i begrenset grad berørt under kontrollen. Det ble ved Moss lufthavn gitt uttrykk for utfordringer knyttet til tilgjengelighet i på arbeidsflaten og løsning for skanning av reisedokumenter. Det legges til grunn at avvik meldes inn dersom dette er vedvarende. Det ble opplyst om ryddige rutiner knyttet til planlagte stans for oppgraderinger. De systematiske utfordringene i sikkerhetsarbeidet som omtales i rapportens 5.5 om planlagte og systematiske tiltak omfatter også sikring av tilgjenglighet. Datatilsynet har ikke videre merknader knyttet til sikring av tilgjengelighet Bruk av databehandler Bruk av databehandler og regulering av forholdet mellom registeransvarlig og databehandler i samsvar med SIS-loven 3, jf. SIS-forskriften 7-15 ble ikke berørt under kontrollen. 21 I tilbakemelding til foreløpig kontrollrapport ble det gjort rede for logging som finner sted hos UDI, samt prosesser for å avklare forholdet mellom UDI og KRIPOS 13 av 13