PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

Transkript

1 PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt Hamar tlf Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt

2 INNHOLDSFORTEGNELSE 0. Fylkesrådets kommentarer Innledning Bakgrunn og hjemmel for forvaltningsrevisjon Prosjektets bakgrunn og formål Problemstillinger Metodisk tilnærming Revisjonskriterier Fakta Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Revisors vurderinger Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Håndtering av personopplysninger i Hedmark fylkeskommune Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne Konklusjoner og anbefalinger Kilder Vedlegg

3 0. Fylkesrådets kommentarer 3

4 4

5 1.0 Innledning. 1.1 Bakgrunn og hjemmel for forvaltningsrevisjon. Kommunelovens 78 nr. 2 og Forskrift om revisjon i kommuner og fylkeskommuner m.v. 6 pålegger revisor å utføre forvaltningsrevisjon. Forvaltningsrevisjon innebærer å gjennomføre systematiske vurderinger av økonomi, produktivitet, måloppnåelse og virkninger ut fra Fylkestingets vedtak og forutsetninger. Kontrollutvalget i Hedmark fylkeskommune besluttet at det skulle gjennomføres et forvaltningsrevisjonsprosjekt vedrørende etableringen av bredbånd til de videregående skolene i Hedmark. Hedmark fylkeskommune var tidlig ute med å satse på bredbåndsteknologi og bruk av IT i den videregående opplæringen. Denne satsingen har gitt alle de videregående skolene bredbånd og er positivt for elever og lærere. Etter at prosjektet ble startet i mai 2006 har vi endret fokus til hvordan personopplysninger vedrørende elever ivaretas i Hedmark fylkeskommune. Hedmark fylkeskommune har utarbeidet en Overordnet IT-strategi for med fire overordnede mål. IT- satsingen til Hedmark Fylkeskommune skal: teknologisk være i forkant. sikre gode og kostnadseffektive tjenester. sikre tilgjengelighet for alle brukerne uavhengig av tid og sted. kjennetegnes av høy troverdighet (datainnhold, sikkerhet). Troverdighet går på høy grad av sikkerhet og datainnhold og er sentralt i forhold til personopplysninger og rettssikkerhetshensyn for blant annet elevene i fylkeskommunen. 1.2 Prosjektets bakgrunn og formål. Formålet med prosjektet har vært å se på hvordan Hedmark fylkeskommune håndterer personopplysninger vedrørende elever i de videregående skolene. Det har kommet nye og strengere regler om hvordan personopplysninger skal ivaretas, jf. Personopplysningsloven med forskrifter. 5

6 1.3 Problemstillinger Vi har sett nærmere på følgende problemstillinger. 1. Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? 2. I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? 3. Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko med tanke på å ivareta sikkerheten for brukerne? 2.0 Metodisk tilnærming. Fylkesrevisjonen har valgt å benytte deler av Datatilsynets Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven i undersøkelsen. I Datatilsynets veileder for risikovurdering heter det at en risikovurdering skal være et styringsverktøy for den som har ansvaret for informasjonssikkerhet. Risikovurderingen må resultere i en beskrivelse av risiko som er avdekket og en sammenligning av dette risikonivå med det som er definert som akseptabelt risikonivå 1. Datainnsamlingen har bestått av et spørreskjema med grunnlag i Datatilsynets risikovurdering som er besvart av Fylkessjefen for videregående opplæring og IKT- avdelingen i fylkeskommunen. I tillegg har det vært dokumentanalyse og intervjuer med sentrale personer innen videregående opplæring i Hedmark fylkeskommune, IKT- avdelingen og administrativt personale ved Trysil videregående skole. Planen var å bruke Trysil videregående som et case i prosjektet, det ble det ikke noe av. Det er lagt en kvalitativ tilnærming 2 til grunn for undersøkelsen. Fylkesrevisjonen har fokusert på svarene vi har fått fra videregående opplæring og IKTavdelingen og forsøkt å finne risikofaktorer knyttet til de fem hovedområdene i risikovurderingen. Disse områdene er ledelsens ansvar, organisering, sikkerhet hos andre bedrifter, sikkerhet og dokumentasjon, jf. tabell 1. Det er avgrenset bare mot personopplysninger vedrørende elever og ikke ansatte i fylkeskommunen. I Personopplysningsforskriftens 2-4 står det at risikovurderinger skal gjennomføres for å klarlegge sannsynlighet for og konsekvens av sikkerhetsbrudd. Risikobegrepet rommer altså to størrelser. Sannsynlighet for at noe skal skje, og hvilke konsekvenser denne hendelsen kan få. Dette er illustrert i tabell 1, hvor det angis en skjematisk oppstilling av vurderingens innhold. 1 Datatilsynet (2005):3. 2 Kvalitativ metode er en fellesbetegnelse på ulike typer undersøkelser og undersøkelsesopplegg. Felles for disse er måten data systematiseres, analysene gjennomføres og muligheten for generaliseringen av funnene. 6

7 Fylkesrevisjonen har ikke gjennomført en total risikovurdering, da dette er omfattende, og vi har ikke nok ressurser eller den kompetanse som kreves for en slik vurdering. Vi har konsentrert oss om risikofaktorene som har kommet fram i forbindelse med spørreskjemaet og sett noe på hva fylkeskommunen har gjort så langt av tiltak for å redusere risikoen. Risikovurdering Mål for virksomheten 1)Ledelsens ansvar Risikofaktorer Sikkerhetsbehov/ Lav troverdighet (K/I/T) Risikovurdering Sannsynlighet 1-4 Konsekvens 1-4 Risikofaktor (S+K) Akseptabel risiko (Tallfestet verdi) 2)Organisering 3) Sikkerhet hos andre virksomheter 4) Sikkerhet 5) Dokumentasjon Tabell 1 3. Vurderingsskjema. Hedmark fylkeskommune fikk gjennomført en sikkerhetsrevisjon av bruken av informasjonssystemer i Denne gjennomgangen ble foretatt i samarbeid med Institutt for datasikkerhet og formålet var å avdekke eventuelle sikkerhetsmessige svakheter i systemtekniske, fysiske eller organisatoriske forhold ved fylkeskommunens tjenestesteder og foreslå måter å utbedre dette på. I rapporten vår bygger vi på en del informasjon fra denne sikkerhetsrevisjonen. 3 Basert på Datatilsynet (2005). 7

8 3.0 Revisjonskriterier. For å kunne vurdere de faktiske forhold i forvaltningen må vi ha noe å måle i forhold til. Revisjonskriterier er en samlebetegnelse for det regelverk, standarder og normer etc. som fakta vurderes mot. Revisjonskriteriene fastsettes vanligvis med basis i en eller flere av følgende kilder: lovverk, politiske vedtak og føringer, fylkeskommunens egne retningslinjer, anerkjent teori på området og andre sammenlignbare virksomheters løsninger og resultater. De revisjonskriteriene som vi har målt funn/fakta opp mot i dette prosjektet, følger av: 1) Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift om personopplysningsloven. 2) Lov om behandling av personopplysninger av nr ) Forskrift om behandling av personopplysninger av nr ) Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. 5) Hedmark fylkeskommune (2006): Overordnet IT- strategi for Hedmark fylkeskommune ) Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. 7) Lov om grunnskolen og den videregående opplæringa (opplæringsloven) av nr

9 4.0 Fakta 4.1 Hvilke personopplysninger registreres vedrørende elevene, også sensitive opplysninger og i hvilke systemer oppbevares disse opplysningene? Personopplysningsforskriften (Pol.f.) har bestemmelser om informasjonssikkerhet i kapittel 2. Disse reglene gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. I lov om personopplysninger 2 nr. 1 defineres personopplysninger på følgende måte: Personopplysninger: opplysninger og vurderinger som kan knyttes til en enkeltperson. Med sensitive personopplysninger( 2 nr.8) forstås Opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold e) medlemskap i fagforeninger. Pol.f. 2-4 krever at det føres oversikt over hva slags personopplysninger som behandles, og at den behandlingsansvarlige skal gjennomføre risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Når det gjelder personopplysninger vedrørende elevene i Hedmark fylkeskommune har vi fått opplyst at følgende opplysninger er registrert når det gjelder elever: - navn og adresse - fødselsnummer - fravær - karakterer fra ungdomsskolen - informasjon i elevmapper (Oppfølgingtjenesten) - opplysninger om spes.pedagogiske behov (Særskilte søkere) Det er mange systemer i fylkeskommunen hvor det oppbevares personopplysninger. Fylkesrevisjonen har ikke full oversikt over alle systemene hvor det registreres personopplysninger. Vi har fått informasjon om noen av systemene, det er blant annet datasystemene Vigo inntak og fag, Otto og Realdok. Vigo inntak inneholder personopplysninger om søkere og elever i forbindelse med inntaket til videregående skole. Mens Vigo fag inneholder personopplysninger om søkere, elever og lærlinger i bedrift. Datasystemet Otto har personopplysninger om søkere og elever som Oppfølgingstjenesten har kontakt med. 9

10 I systemet Realdok registreres personopplysninger vedrørende personer som har fått gjennomført en realkompetansevurdering og opplæringsbehovet for voksne. Hedmark fylkeskommune innførte høsten 2006 ny læringsplattform (Fronter) I tillegg benyttes et fraværssystem (SkoleArena). Begge disse er meldt til Datatilsynet. Etter den gjennomførte sikkerhetsrevisjonen i 2004 ble det identifisert hvilke datasystemer som inneholdt opplysninger som omfattes av Personopplysningsloven og om det var noen konsesjonspliktige systemer. Fire systemer var av en slik art at de krevde innsending av meldinger ble funnet og disse er nå registret hos Datatilsynet. I spørreskjemaet som vi sendte ut ble det spurt om Fylkessjefen for videregående opplæring har en oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Svaret på dette spørsmålet var at fylkeskommunen ikke har noen slik oversikt. 4.2 I hvilken grad sikrer Hedmark fylkeskommune at personopplysninger vedrørende elever håndteres på en forsvarlig måte? Ifølge Pol.f. 2-5 skal sikkerhetsrevisjon av bruk av informasjonssystemet gjennomføres jevnlig. Resultatene av sikkerhetsrevisjonen som ble gjennomført i 2004 var blant annet anbefaling om å utarbeide en sikkerhetshåndbok for Fylkeshuset. Når det gjelder personopplysninger var forslaget at sensitive personopplysninger og andre opplysninger av en slik art at de ønskes skjermet, skal være under tilsyn eller låses ned. Det ble også gitt anbefalinger om å sikre skrivere hvor det skrives ut dokumenter med personopplysninger. Svakhetene som kom fram i sikkerhetsrevisjonen har vi delvis fått bekreftet i svarene vi har fått fra fylkeskommunen. Det ble blant annet spurt om virksomhetens sikkerhetsmål er dokumentert og undertegnet av en representant for virksomhetens ledelse. Et annet spørsmål var om virksomhetens valg og prioriteringer i sikkerhetsarbeidet var beskrevet i en sikkerhetsstrategi. Svarene her er at ikke noe av dette er gjennomført så langt, men at det arbeides med å få til en sikkerhetshåndbok hvor disse punktene vil bli tatt med. Etter hva fylkesrevisjonen erfarer er det fortsatt skrivere hvor det skrives ut dokumenter med personopplysninger og hvor disse skriverne ikke er sikret for utenforstående. 10

11 4.3 Hvilke tiltak og løsninger gjøres for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne? Vedrørende beredskapsplanlegging for fylkeskommunen ble det svart nei på spørsmålet om det er utarbeidet en beredskapsplan for å sikre nødvendig behandling av personopplysninger ved avbrudd i normal drift. Det er ikke parallelle IT-systemer som kan ta over ved driftsbrudd. Data som inneholder personopplysninger sikkerhetskopieres jevnlig slik som øvrige dokuemnter. Det ble stilt spørsmål om det iverksettes avviksbehandling i tilfeller hvor informasjonssystemet benyttes i strid med fastlagte rutiner, ved brudd på informasjonssikkerhet, samt ved mistanke om sikkerhetsbrudd. Ifølge fylkeskommunen settes det ikke i gang avviksbehandling. Personellsikkerhet Det stilles krav om at medarbeidere i fylkeskommunen som har tilgang til sensitive personopplysninger underskriver taushetserklæring. De blir også informert om omfanget og varigheten for taushetsplikten, samt om konsekvensene ved brudd på denne. Det finnes også rutiner for tildeling av autorisasjon vedrørende behandling av personopplysninger. Disse omfatter også autorisasjon av nytilsatte, vikarer og partnere med tjenestelige behov, i tillegg også for sletting av autorisasjon når en medarbeider for eksempel slutter i virksomheten. Det ble opplyst at kontroll med at tildelte autorisasjoner fungerer etter forutsetningene ikke blir gjort. Fysisk sikkerhet På spørsmål om lokaler og utstyr hvor det behandles sensitive personopplysninger er forsvarlig sikret, fikk vi svar fra IKT- avdelingen om at det gjelder kun der hvor dataeier har gjort avtale om det. Det samme gjelder adgangskontrollen til lokaler og utstyr hvor sensitive personopplysninger finnes. Når det gjelder utstyret som benyttes til behandling av sensitive personopplysninger (arbeidsstasjoner, skrivere, telefakser, kopimaskiner osv.) og spørsmål om disse er innrettet slik at tilgangen begrenses til de som har tjenstlig behov er dette OK for fylkestannlegen, men ikke for videregående opplæring. 11

12 Systemteknisk sikkerhet IKT- avdelingen opplyser om at informasjonssystemet er inndelt i soner, det skilles mellom sikker og åpen sone. Dette skillet innebærer at det er en sikret sone hvor sensitive personopplysninger behandles, atskilt fra det interne nettverket, andre sikrede soner og eksterne nettverk. Skillet mellom sikret sone og intern sone skal være slik at det ikke er mulig for brukere å overstyre de innlagte begrensningene. Når det gjelder den systemteknisk sikkerheten med sikkerhetsbarrierer, applikasjons- og nettverkskontroller osv har IKT- avdelingen svart at dette har de gode rutiner og kontroll på. Dette bekreftes også i rapporten fra sikkerhetsrevisjonen, hvor det er følgende kommentarer: Etter vår vurdering ivaretar fylkeskommunen i all hovedsak disse sikkerhetskrav, bl.a gjennom svært gode systemtekniske tiltak, herunder sikrede nettverk/sikre soner der det foregår behandling av sensitive personopplysninger, gode autorisasjons- og tilgangskontrollrutiner, krypteringsrutiner for ekstern- kommunikasjon med sensitive opplysninger (OT- tjenesten), god dataviruskontroll, osv. og ikke minst: sikkerhetsbevisste ledere og medarbeidere. En av anbefalingene etter sikkerhetsrevisjonen var at Mulighetene for å klippe og lime vurderes fjernet i de fagsystemer som bl.a. behandler personsensitive opplysninger (VIGO, OTTO, osv.), slik at HFKs rutiner for dette blir i samsvar med sikkerhetskravene i POL mht. å sikre mot mulige uautoriserte endringer ( manipuleringer ) av sensitive personopplysninger. Ifølge fagpersoner på videregående opplæring er ikke disse mulighetene for å klippe og lime fjernet. For å få gjennomført arbeidsoppgavene er det meget praktisk å ha muligheten for dette ble det opplyst. FEIDE Hedmark fylkeskommune er en av pilotene når det gjelder prosjektet FEIDE (Felles Elektronisk Identitet). Dette er et nasjonalt tiltak for enhetlig identitetsforvaltning i utdanningssektoren. Målsettingen er å gi studenter og lærere én elektronisk identitet som kan brukes på mange digitale tjenester for utdanning og læring. FEIDE ble innført høsten 2006 i Hedmark fylkeskommune. Med innføring av FEIDE vil en forbedre den elektroniske håndteringen av persondata. FEIDE- løsningen kalles for Buddy. Buddy er en integrasjonsmotor som sikrer at persondata blir behandlet iht personvernloven. Buddy er en kjernekomponent i fylkeskommunens FEIDE- løsning. 12

13 5.0 Revisors vurderinger 5.1 Registrerte personopplysninger vedrørende elevene, også sensitive opplysninger og systemene hvor opplysningene oppbevares Etter hva fylkesrevisjonen erfarer registreres det personopplysninger vedrørende elever i mange datasystemer. Dette er et stort og uoversiktlig område hvor fylkeskommunen ikke har noen total oversikt. Det følger av Pol.f. 2-4, 1. ledd at det skal føres en oversikt over hva slags personopplysninger som behandles i virksomheten. Fylkesrevisjonen anbefaler at Hedmark fylkeskommune får gjennomført en risikovurdering for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Det skal også fastlegges kriterier for akseptabel risiko forbundet med behandling av personopplysninger i virksomheten. Dette er sentralt i forhold til elevenes rettssikkerhet når det gjelder personopplysninger. 5.2 Håndtering av personopplysninger i Hedmark fylkeskommune Det håndteres store mengder av personopplysninger vedrørende elever daglig i Hedmark fylkeskommune. Etter fylkesrevisjonens oppfatning tas utfordringene med å ivareta elevenes rettssikkerhet vedrørende personopplysninger på alvor i fylkeskommunen. Det vises til FEIDEprosjektet. Hedmark fylkeskommune er som tidligere skrevet med i et prosjekt som heter FEIDE og som har utviklet felles elektronisk identitet for elever og lærere. Dette vil etter hvert gjøre det enklere å ha oversikt over og i tillegg håndtere personopplysninger for elevene i den videregående skolen. Det at fylkeskommunen ikke har noen total oversikt over personopplysninger kan gjør det vanskeligere for fylkeskommunen å overholde kravene om melde- og konsesjonsplikt for personopplysninger til Datatilsynet. Nedlåsing av dokumenter med personopplysninger og sikring av skrivere hvor det skrives ut slike dokumenter må prioriteres. Det kan gjøres ved relativt enkle grep. Etter den gjennomførte sikkerhetsrevisjonen kom det fram at det var svært få makuleringsmaskiner i fylkeshuset. Dette har bedret seg noe, men det er viktig at de som arbeider med personopplysninger enkelt og greit kan makulere dokumenter de ikke har behov for. 13

14 5.3 Tiltak og løsninger for å redusere systemenes sårbarhet og risiko for å ivareta sikkerheten for brukerne. Fylkesrevisjonen er kjent med at anbefalingene i sikkerhetsrevisjonen som ble gjennomført i fylkeskommunen blir fulgt opp med diverse tiltak. Det er blant annet satt i gang et prosjekt med å utarbeide en sikkerhetshåndbok for å få dokumentert sikkerhetsrutinene i fylkeshuset, rutinene for behandling av dokumenter og data i Hedmark fylkeskommune. Risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd skal gjennomføres av den behandlingsansvarlige i virksomheten. Det er vanskelig å vite hvem som har fått delegert ansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer i Hedmark fylkeskommune. Dette ansvaret ser ut til å være fordelt på flere. Det er IKT- avdelingen som har ansvaret for den tekniske driften, og det er ledelsen i Hedmark fylkeskommune som skal sørge for at det blir gjennomført overordnede risikovurderinger, fastsettelse av sikkerhetsmål, utarbeidelse av strategier m.m. Etter fylkesrevisjonens oppfatning bør ledelsen i Hedmark fylkeskommune uttrykkelig gi ansvaret for disse overordnede oppgavene til en eller flere sentrale personer. Som stor dataeier har fylkeskommunen et stort og tungt ansvar for å sikre driften og gjennomføringen når det gjelder blant annet å overholde reglene vedrørende personopplysninger. 14

15 6.0 Konklusjoner og anbefalinger Etter fylkesrevisjonens oppfatning har ikke Hedmark fylkeskommune god nok kontroll og sikkerhet vedrørende håndteringen av personopplysninger for elever. De har blant annet ingen oppdatert oversikt over hvilke behandlinger av personopplysninger som foretas, dette kreves i forskriften om personopplysninger 2-4, 1. ledd. Fylkesrevisjonen anbefaler at fylkeskommunen utarbeider en slik oversikt og holder den oppdatert. Fylkesrevisjonen vil også anbefale at fylkeskommunen gjennomfører en risikovurdering for kartlegging av personopplysninger, slik at de kan dokumentere at de har god oversikt og kontroll når det gjelder personopplysninger. Og for å oppfylle kravene om risikovurderinger i forskriften om personopplysninger 2-4, 2. ledd. Fylkesrevisjonen savner avklaring av hvem som har hovedansvaret for en del av de overordnede oppgavene med sikkerhetsmål, strategier og rutiner med mer. Dette ansvaret ser ut til å være fordelt på flere. Sikkerhetsrevisjonen viser at de har gode rutiner på enkelte områder, spesielt de systemtekniske områdene. FEIDE vil bidra til en mer ensartet og riktig behandling av personopplysninger. Hamar Gjertrud Aas Moen fylkesrevisjonssjef Hans Ole Tårneby førsterevisor 15

16 7.0 Kilder. Datatilsynet (2002): Risikovurdering av informasjonssystem med utgangspunkt i forskrift til personopplysningsloven. Datatilsynet (2005): Veiledning i informasjonssikkerhet for kommuner og fylker. NS ISO/IEC Andersen Kari Merete m.fl.: Veileder i forvaltningsrevisjon. NKRF Lov om behandling av personopplysninger av nr. 31. Forskrift om behandling av personopplysninger av nr Hedmark fylkeskommune (2005): Strategisk plan for videregående opplæring i Hedmark. Hellevik, Ottar (2002): Forskningsmetode i sosiologi og statsvitenskap. Oslo: Universitetsforlaget. Norges kommunerevisorforbund (2005): RSK 001 Standard for forvaltningsrevisjon. 8.0 Vedlegg Vedlegg 1: Oppstartsbrev for prosjektet til Fylkesrådet av Vedlegg 2: Brev med spørreskjema til Fylkessjefen for vid.g. opplæring av Vedlegg 3: Brev fra Fylkessjefen for vid.g. opplæring av Vedlegg 4: Brev vedr. verifisering Fylkessjefen for vid.g. opplæring av Vedlegg 5: E-post vedr. verifisering fra Fylkessjefen for vid.g. opplæring av Vedlegg 6: Brev til Fylkesrådet av

17 17

18 18

19 19

20 20

21 21

22 22