1 Introduksjon til oppgaven

Transkript

1 1 Introduksjon til oppgaven Organisering av informasjonssikkerhetsarbeidet kan by på utfordringer. Dette gjelder både hos private og offentlige aktører. For å kunne få til en organisering som er bra og som ivaretar personvernet og andre hensyn på en god måte, må for det første ledelsen hos den som skal gjennomføre en organisering være klar over hvilket ansvar som hviler på dem. Jeg ønsker i denne oppgaven å se på hvordan organiseringen av informasjonssikkerhetsarbeidet blir gjennomført i noen utvalgte kommuner. Grunnen til at jeg ønsker å se på kommuner er at kommuner har en utstrakt kontakt med sine innbyggere. Kommuner behandler veldig mye personopplysninger om dens innbyggere og derfor vil det være interessant å se på hvordan disse behandlingene av personopplysninger tilfredsstiller juridiske krav som gjelder. For å kunne si noe om en kommune etterlever juridiske krav som gjelder må en først finne ut av hva disse juridiske kravene går ut på. Det vil også være andre juridiske krav som gjelder for opplysninger som er taushetsbelagte. En kunne tatt for seg en lang rekke juridiske krav som vil gjelde for behandling av personopplysninger, men jeg ønsker å se nærmere på om kravene som gjelder for sikring av personopplysninger og annen taushetsbelagte opplysninger og da nærmere bestemt organisering av informasjonssikkerhetsarbeidet.det er ledelsen i en kommune som kan ta avgjørelser om organisering av virksomheten og hvilke oppgaver de forskjellige enhetene skal ha. Hvordan en best skal organisere arbeidet med informasjonssikkerheten vil ikke være lett fordi det vil kunne være flere faktorer som virker inn. Kommuner har flere forskjellige informasjonssystemer. Noen har dem lokalt ansvar for og noen styres fra sentralt hold. De forskjellige enhetene i kommunen bruker dessuten forskjellige systemer. I hvilken avdeling eller enhet skal ansvar for informasjonssikkerhetsarbeidet ligge? En spesialisert enhet eller litt i hver? Regelverkene som regulerer krav til informasjonssikkerhet spesifiserer noen krav til organisering uten at hvordan alt sammen som skal gjøres er beskrevet i detalj. Ofte kommer det an på situasjonen og det vil være basert på skjønn hvordan organiseringen bør være gjennomført. 1.1 Oppgavebeskrivelse Jeg ønsker som sagt ovenfor å undersøke hvordan de utvalgte kommunene etterlever de juridiske kravene som gjelder for hvordan organiseringen av informasjonssikkerhetsarbeidet skal foregå. Mange kommuner har begrenset kunnskap om lover og regelverk som setter krav til informasjonssikkerhet. Dette bekreftes også i en spørreundersøkelse 1 som er gjennomført av Transportøkonomisk institutt (TØI) på oppdrag av tidligere Moderniseringsdepartementet (MOD), nå Fornyings- og administrasjonsdepartementet (FAD) og Datatilsynet. Blant virksomhetene var det også mange offentlige virksomheter deriblant kommuner. 2 Organiseringen av arbeidet med å ivareta informasjonssikkerhetskrav kan derfor ofte bli tilfeldig, og har ikke utgangspunkt i de juridiske kravene som gjelder. Ledelsen er ofte ikke klar over sitt ansvar og ofte er det IT-ansvarlige i kommuner som må jobbe/kjempe for at informasjonssikkerhet skal bli tatt alvorlig. Hvordan oppgaven med informasjonssikkerhet er løst på kan noen ganger ha opphav kun i hvordan en kommune er organisert på. Regelverkene stiller opp krav til sikring av personopplysninger og annen taushetsbelagte opplysninger. Blant annet stiller regelverkene også opp krav til organisering av arbeidet med 1 Behandling av personopplysninger i norske virksomheter En spørreundersøkelse om personvern og personopplysningsloven Inger-Anne Ravlum TØI rapport 800/ TØI rapport 800/2005:2. Ørnulf Storm 1

2 informasjonssikkerhet. Fordi dette regelverket ikke er kjent i kommuner vil etterlevelse av dette være så som så. For å finne ut om en kommune etterlever de juridiske kravene som gjelder for informasjonssikkerhet og da nærmere bestemt krav til organisering må en først gjøre rede for hva disse juridiske kravene går ut på. Dette vil være det første jeg må finne ut av vil da være: 1) Hvilken rettslige regulering finnes for krav til sikring av personopplysninger og andre taushetsbelagte opplysninger da nærmere bestemt krav til organisering eller organisatoriske tiltak. For å finne ut av dette må en undersøke regelverk som gjelder for behandling av personopplysninger og annet regelverk som pålegger krav om taushetsplikt. Hovedregelverket som gjelder for behandling av personopplysninger er personopplysningsloven 3. Her er det særlig 13 som omhandler informasjonssikkerhet, 14 som omhandler internkontroll og 15 som setter opp krav for databehandlerens 4 rådighet over personopplysninger. Her er det samtidig gitt forskrifter med hjemmel i loven som også inneholder rettslig regulering av organisatoriske tiltak. Det er da særlig personopplysningsforskriften 5 kapittel 2 som inneholder interessante juridiske krav. Når det gjelder annen taushetsbelagt informasjon og opplysninger er det flere regelverk som kan gjøre seg gjellende. Forvaltningsloven 6 har regler for taushetsplikt og 13 setter krav om taushetsplikt. 13a-13f utdyper kravene og setter noen begrensninger for taushetsplikten. Det er også gitt forskrifter i medhold av forvaltningsloven og en forskrift er av særlig interesse. Dette er eforvaltningsforskriften 7. Denne er meget sentral når det gjelder krav til sikkerhet for behandling av taushetsbelagt informasjon og personopplysninger. Sikkerhetsloven 8 stiller også opp juridiske krav til informasjon som av sikkerhetsmessige grunner må beskyttes. Det er da særlig kapittel 2 i loven 4-7 om administrasjon av forebyggende sikkerhetstjeneste og kapittel 4 i loven som omhandler informasjonssikkerhet. Det er i tillegg gitt flere forskrifter med hjemmel i loven. De som er interessante å nevne er forskriften som er gitt med hjemmel i sikkerhetsloven 5 som er forskrift om sikkerhetsadministrasjon 9 og forskriften gitt med hjemmel i sikkerhetsloven som er forskrift om informasjonssikkerhet 10. En annen forskrift som også omhandler beskyttelse av dokumenter er beskyttelsesinstruksen 11 som gjelder for dokumenter som for andre grunner enn det som sikkerhetsloven setter krav om må beskyttes. De regelverkene som er å anse som relevante må derfor undersøkes nærmere for å kunne svare på det første spørsmålet. Når det klarlagt hvilke juridiske krav som gjelder går det dermed an å undersøke om en kommune etterlever disse kravene eller ikke. Det andre spørsmålet som dermed ønskes besvart er derfor: 3 Lov 14. april 2000 nr. 31om behandling av personopplysninger (personopplysningsloven) 4 Jf. legaldefinisjon for databehandler, personopplysningsloven 2 nr 5. 5 Forskrift 15. desember 2000 nr 1265 om behandling av personopplysninger (personopplysningsforskriften). 6 Lov 10. februar 1967 nr. 00 om behandlingsmåten i forvaltningssakter (forvaltningsloven). 7 Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften). 8 Lov om forebyggende sikkerhetstjeneste av 20. mars 1998 nr 10 i kraft fra 1. juli Forskrift 29. juni 2001 nr. 723 om sikkerhetsadministrasjon. 10 Forskrift 1. juli 2001 nr. 744 om sikkerhetsadministrasjon. 11 Forskrift 17. mars 1972 nr. 3352: Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter (beskyttelsesinstruksen). Ørnulf Storm 2

3 2) Blir de rettslige kravene som stilles til organisering av informasjonssikkerhetsarbeidet etterlevd i praksis. Hvordan er graden av etterlevelse og hvilke regelverk blir fulgt og i så fall hvilke deler av regelverkene. Det må derfor lages en undersøkelse med spørsmål som undersøker om etterlevelse av krav til sikring og da særlig de juridiske kravene som gjelder for organisering av informasjonssikkerhetsarbeidet og krav til organisatoriske tiltak. Når dette skal undersøkes kan det også være interessant å undersøke om de i det hele tatt er klar over at regelverkene finnes. Det vil også være interessant å få vite hvem i organisasjonen som er klar over hvilke regler som finnes. Det kan være at det er noen rettslige krav som er fulgt og noen ikke. Det vil i den forbindelse være interessant å få vite hvorfor noen krav er etterlevd og noen ikke. Grunner til at rettslige krav ikke blir fulgt kan være flere. Dersom det er mulig å finne ut av dette vil dette være av interesse. Hvilken metode en kommune har brukt for å gjennomføre de tiltak som faktisk er gjennomført er av interesse. Det vil derfor være ønskelig å lage spørsmål som går på hvilke modeller som er blitt lagt til grunn for hvordan informasjonssikkerhetsarbeidet er lagt opp på bakgrunn av. Dersom de ikke har brukt kravene i regelverkene, hva har de da brukt som grunnlag for å ivareta informasjonssikkerhetsarbeidet. Det kan være interessant å undersøke om det er noen organisatoriske modeller som har bakgrunn i organisasjonsteori som ligger til grunn for faktisk organisering av informasjonssikkerhetsarbeidet. En måte å se på offentlige organisasjoner har utviklet seg i det statsvitenskapelige miljøer både i Norge og i utlandet. Det er teori fra disse miljøene som vil være interessant når en skal se på en kommune. Et grunnleggende trekk ved disse teoriene er at offentlige organisasjoner er forskjellige fra private organisasjoner. På grunn av det politiske aspektet og den politiske styringen av disse organisasjonene vil denne typen organisasjoner være annerledes når en for eksempel skal studere faktorer for styring av slike organisasjoner og når en studerer endringsprosesser. (her må jeg legge inn referanser til boka til Christensen et al Organisasjonsteori for offentlig sektor). En måte å se på en organisasjon på er gjennom et instrumentelt perspektiv. Dette perspektivet tror jeg er hensiktsmessig siden det jeg skal studere i forhold til er lovregler som sier noe om hvordan organisasjonene skal handle og utføre sine oppgaver. Dette vil derfor være sammenfallende med hvordan det instrumentelle perspektivet ser på en organisasjon. Et tredje spørsmål er derfor kommet fram og det er: 3) Utenom de juridiske kravene til organisering av informasjonssikkerhetsarbeidet, hvilke faktorer (eller og modeller) har spilt en rolle i etableringen av sikkerhetstiltak og gjennomføring av sikkerhetsoppgaver i kommunens organisasjon. For å finne ut av dette må det stilles spørsmål til de som har utført organiseringen. Det kan også være at det ikke er noen veldig nøye planlagt gjennomføring men at oppgaven med å sikre informasjon bare er blitt gitt til en IT-ansvarlig som har gjennomført tiltak basert på utdannelse, erfaringsbakgrunn fra andre jobber eller annen grunn. Det vil uansett være interessant å finne ut av om det noen modeller eller måter å gjøre ting på som en finner i flere kommuner. Når alle disse spørsmålene er besvart vil dette kunne danne et grunnlag for å mene noe om formålet med regelverkene er oppnådd eller ikke. Det vil også kunne være grunnlag for å drøfte om regelverkene fungerer etter hensikten og om en kan se om det kan være hensiktsmessig å utforme regelverkene på en annen måte. Ørnulf Storm 3

4 Er regelverkenes krav om organisering av informasjonssikkerhetsarbeidet hensiktmessig eller burde kravene til organisering være implementert på en annen måte? Dersom en finner ut at regelverkene ikke er kjent så er det interessant å vite hva er årsakene til at regelverkene er lite kjent og dermed også krav til organisering. Passer lovens krav til alle typer organisasjonsformer i kommunene. Vil det ut fra et instrumentelt perspektiv syn på organisasjoner være ting i regelverkene som ikke stemmer overens? Er måten kommuner er organisert på tilpasset kravene til organisering av informasjonssikkerhetsarbeidet som er nedfelt i regelverkene? Hvilke virkemidler er mest effektive for å etablere en organisering av informasjonssikkerhetsarbeidet? Er det de juridiske virkemidlene eller kunne det samme resultatet vært oppnådd med kun organisatoriske virkemidler som ikke er pålagt gjennom regelverk? Dette er spørsmål som kan være aktuelt å drøfte på bakgrunn av de funnene som blir gjort gjennom undersøkelsene. 1.2 Avgrensninger Som ovenfor beskrevet går oppgaven ut på å gi en oversikt over rettslige krav til organisering av informasjonssikkerhetsarbeidet i kommuner for deretter å undersøke i noen utvalgte kommuner hvordan etterlevelse av regelverkene faktiske er. Når det gjelder de rettslige kravene vil jeg her begrense meg til å undersøke de rettslige kravene som gjelder for personopplysninger og i en viss grad andre krav til taushetsbelagte opplysninger som gjelder i forvaltningen. Krav som gjelder behandling av opplysninger som er omfattet av sikkerhetsloven vil ikke bli behandlet i detalj i denne oppgaven. Sikkerhetsloven gjelder også for forvaltningsorganer og bruker samme definisjon for dette som forvaltningsloven. 12. Sikkerhetsloven med forskrifter og da særlig de to ovennevnte forskriftene om sikkerhetsadministrasjon og informasjonssikkerhet, setter opp flere krav til organisering av informasjonssikkerhetsarbeidet for informasjon omfattet av loven. Disse er veldig omfattende i seg selv og veldig formalisert. Nasjonal sikkerhetsmyndighet har ansvaret for å krav etter loven blir fulgt. En grunnleggende forskjell i sikkerhetsloven med forskrifter er at det setter krav til forhåndsgodkjenning av et informasjonssystem før en behandling kan starte, jf. Sikkerhetsloven 13 første ledd. Dette medfører dessuten normalt til en helt annen bevissthet rundt sikkerhetskrav og tvinger at den som skal behandle denne typen informasjon tenker gjennom og foretar seg en god del ting. Selv om denne metoden øker bevisstheten vil dette ikke være aktuelt for behandling av personopplysninger siden hovedregelen for behandling er meldeplikt og dermed medfører etterkontroll som skal ivaretas av Datatilsynet (ref ot prp også i kommentarutgaven til pol). Det ville også dessuten bli altfor kostbart å hatt et system som skulle håndtert forhåndgodkjenning av alle systemer i det private og offentlige som behandler personopplysninger. Siden også mengden av opplysninger som er omfattet av sikkerhetsloven ikke er veldig stor for en kommune ønsker jeg å holde denne behandlingen utenfor denne oppgaven. Disse rettslige kravene vil derfor ikke bli beskrevet ytterligere i denne oppgaven. Rettslike krav i medhold av loven med forskrifter er nærmere beskrevet i boken (Schartum og Jansen (red): 2005) 13. Regler for dokumenter som skal behandles etter krav i beskyttelsesinstruksen blir heller ikke behandlet her siden for disse gjelder samme regler 14 som for sikkerhetsgraderingen BEGRENSET 15, og følgelig vil krav om forhåndsgodkjenning etter sikkerhetsloven 13 første ledd gjelde. Dette er ikke absolutt siden beskyttelsesinstruksen 12 første ledd lyder: 12 Lov om behandlingsmåten i forvaltningssaker av 10. februar 1967 nr 0 13 Schartum og Jansen (2005), rettslige krav til sikring av IKT-systemer. 14 Samme regler jf. Beskyttelsesinstruksen 12 annet ledd. 15 Beskyttelsesgrad BEGRENSET, se sikkerhetsloven 11 første ledd bokstav d. Ørnulf Storm 4

5 Dokumenter gradert etter denne instruksen skal så langt det passer, behandles elektronisk i samsvar med følgende regler i sikkerhetslovens forskrift om informasjonssikkerhet Krav om behandling og da også elektronisk behandling i et informasjonssystem vil derfor kun gjelde så langt det passer. Hva som vil være passende vil ikke bli drøftet eller tatt stilling til her. Kommuner har flere forskjellige avdelinger eller etater som behandler personopplysninger. Det vil derfor kunne være et altfor omfattende arbeid å undersøke hvordan rettslige krav er tatt hensyn til for alle informasjonssystemer en kommune bruker og for alle typer behandlinger av personopplysninger en kommune er behandlingsansvarlig for. Jeg vil derfor velge ut et område innen hver kommune som behandler personopplysninger som det kan være særlige krav til eller der brudd på konfidensialitet for personopplysninger vil være særlig kritisk og medføre en stor krenkelse av personvernet.. Jeg ønsker derfor å konsentrere undersøkelsene i kommunene til å omfatte bruk av informasjonssystemer og behandling av personopplysninger for barnevernsetaten i de utvalgte kommunene. Barnevernsetaten behandler ofte sensitive personopplysninger og andre opplysninger som det på en særlig måte krenker personvernet for de registrerte dersom opplysningene blir offentlig kjent eller kommer i hendene på uvedkommende. 2 Teori Hvordan fungerer organisasjoner og hvilke faktorer påvirker beslutningsadferden. Som et utgangspunkt for å studere kommuner ønsker jeg å bruke organisasjonsteori for offentlig sektor. Denne teorien har sitt utspring i de statsvitenskapelige miljøene. Innenfor denne teorien er det spesielt tre forskjellige perspektiver som kan brukes når en skal se nærmere på en organisasjon. Disse tre er det instrumentelle perspektivet, kulturperspektivet og myteperspektivet. Når en skal studere en organisasjon innen offentlig sektor vil derfor disse perspektivene være nyttige å bruke. Enkelte egenskaper eller aktiviteter vil noen ganger tradisjonelt falle inn under et perspektiv men ofte kan en også se på den samme egenskapen fra et annet perspektiv. På den måten kan en vel si at i mange tilfeller utfyller hverandre. Siden oppgaven også skal se på rettslige regler for organisering og relasjonen til oppgavene som skal gjøres vil etterlevelse av regler for en organisasjon naturlig passe inn under det instrumentelle perspektivet. Det vil derfor nok i mye av det jeg skal undersøke være naturlig å ta utgangspunkt i et instrumentelt perspektiv, men som nenvt ovenfor vil det ofte også være nytting å se på de oppgavene en organisasjon skal utføre også ut fra de andre perspektivene. Denne teorien og beskrivelsene av disse perskpektivene som jeg tar for meg i dette kapittelet er i hovedsak hentet fra boken Organisasjonsteori for offentlig sektor av Christensen et al. fra Bakgrunnen for tenkningen med at offentlige og private organisasjoner er forskjellige startet, som nevnt i boka (Christensen et al, 2004:14) med en artikkel som den amerikanske statsviteren Graham Allison Selv om regelstyring, som jeg skal se på i denne oppgaven, normalt best kan se på med et utgangspunkt i et hierarkisk instrumentelt perspektiv, så understreker forfatterne i Christensen m. fl 2004:182 så er det ikke tilstrekkelig å kun benytte seg av et enkelt perspektiv. De sier at det bare unntaksvis kan man forstå offentlige organisasjoners virkemåte kun som resultat av instrumentelle prosesser og strategier fra ledelsenes side, kun som produkt av historisk arv og uformelle normer, eller bare som en tilpasning til omgivelsesbestemte myter. I stedet må de 16 Tom Christensen, Per Lægreid, Paul G. Roness, Kjell Arne Røvik, 2004, Organisasjonsteori for offentlig sektor, Universitetsforlaget. Ørnulf Storm 5

6 ofte ses ut fra et komplekst samspill mellom planlagte strategier, kulturelle bindinger og ytre press. (Christensen m.fl 2004:182). Morten Egeberg har utviklet en virkemiddelmodell som kan brukes til studie av offentlige organisasjoner. Kriteriet for utvelging av forklaringsfaktorene er at de i tillegg til å være relevante for å forstå variasjoner i beslutningsatferd, også må være manipulerbare og operasjonaliserbare. (Christensen m.fl. 2004:185) Når jeg derfor skal ta utgangspunkt i denne teorien og lage undersøkelsesopplegget for mine kvalitative studier må jeg stille spørsmål slik at kan klare å belyse problemstillingene fra flere perspektiver og ikke bare det instrumentelle. Si litt om hierarkisk instrumentelt perspektiv, horrisontal og vertikal spesialisering og behovet for koordinering ved de forskjellige måter å etablere en organisasjon på. Noe som er vanlig i organisasjoner er etablering av mål som organisasjonen skal oppnå. For offentlige organisasjoner vil målene være påvirket av mange ulike faktorer i forhold til en privat organisasjon. En av forskjellene ligger i at offentlige organisasjoner er deltager i en politisk styringsdialog som formulere ulike krav og definerer ulike mål for offentlige organisasjoner. Den tradisjonelle forståelsen av mål blir ofte koblet til et instrumentelt syn på organisasjoner. Som jeg kommer tilbake til under den rettslige reguleringen av området informasjonssikkerhet så er det et krav i personopplysningsforskriften 2-3 annet ledd at det skal beskrives sikkerhetsmål og i tredje ledd at det skal valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Når en snakker om mål kan dette være så mangt. Mål kan være av mange ulike slag og typer (Christensen m.fl 2004:89). Disse kan være offisielle mål, operasjonelle mål, uformelle mål, enkle og endimensjonale mål, mangeartede, multiple eller komplekse mål, individuelle og organisasjonsmessige mål og langsiktige og kortsiktige mål. De offisielle målene kan ofte være veldig abstrakte og bærer ofte preg av generelle rettesnorer. For disse målene vil det være vanskeligere å se hvordan en skal nå. Dersom målene er operasjonelle vil det si at de er mye mer konkrete og passer veldig godt inn i en instrumentell tenkning. Disse målene vil være mye lettere å se for seg hvordan en skal oppnå og ledere vil mye lettere kunne bruke for å bestemme hvordan en organisasjon skal organiseres på for å nå målene. Dersom målene er uformelle er de ikke uttalt i organisasjonen men kan være det som ligger til grunn for hvordan medlemmer i en organisasjon handler. Disse målene kan noen ganger virke sammen med de offisielle målene men dersom de ikke er sammenfallende vil de medvirke til øke spenninger i organisasjonen. Når en snakker om langsiktige og kortsige mål er det ofte naturlig at de kortsiktige målene er konkrete, altså det som ble operasjonelle mål. Disse skal dessuten som ordet beskriver realiseres i nær framtid. De langsiktige målene derimot blir ofte kalt for strategier og er gjerne mer generelle og bærer preg av et mer offisielt mål som en skal kunne strekke seg etter. Mål kan også være av typen symbolske mål som da gjerne best kan ses på ut i fra et myteperspektiv. Verdier på den andre siden forbindes ofte med et kulturelt perspektiv og verdiene vil være en del av de uformelle normene i en organisasjon. Verdier kan være moralske retningslinjer en organisasjon handler ut fra eller i henhold til og for en offentlig organisasjon vil flertallsstyre, likebehandling og rettssikkerhet være eksempler på slike verdier. Verdier utgjør ofte en ramme for mål og aktiviteter og vil influere i både hvordan en virksomhet organiseres på og hvordan organisasjonen foretar beslutninger. Ørnulf Storm 6

7 Når vi snakker om sikkerhetsmål så vil ikke sikkerhetsmål være de eneste målene en organisasjon skal oppnå. Sikkerhetsmål vil konkurrere blant mange andre mål som organisasjonen har og som den skal nå fram til. Som ovenfor nevnt så er det et krav til å etablere sikkerhetsmål og sikkerhetsstrategi. Mange av kravene i forskriften bærer preg av veldig konkrete mål og vil derfor naturlig være med i beskrivelsen av sikkerhetsmål men kravet om å etablere tilstrekkelig informasjonssikkerhet vil kunne settes i kategorien offisielt mål, selv om det er et lovpålagt krav/mål, og passer derfor inn når en skal lage en sikkerhetsstrategi. Noe som jeg derfor kan lete etter i en organisasjon er hvilke mål som er satt ned på papiret, både de som er kortsiktige og de som er langsiktige altså strategier. Jeg kan spørre ledere og medarbeidere om hvilke mål de arbeider mot og dermed kan jeg se om jeg finner noen uoffisielle mål og om oppfatningen av mål for ledere og medarbeidere stemmer med de nedskrevne offisielle målene. 3 Rettslig regulering av området Det er flere regelverk som i dag regulerer krav til informasjonssikkerhet og dermed også hvordan organiseringen av dette arbeidet skal gjennomføres. Lov om behandling av personopplysninger av 14. april 2000 nr 31 (personopplysningsloven, heretter forkortet til pol) er en den viktigste loven som regulerer behandling av personopplysninger. Denne loven gjelder både for private og offentlige virksomheter jf. pol 3 Saklig virkeområde og 4 Geografisk virkeområde. I tillegg til loven er det gitt en forskrift med hjemmel i loven og da for informasjonssikkerhet spesielt gitt forskriftsbestemmelser i medhold av 13 i loven. Forskriftsbestemmelsene som gjelder for informasjonssikkerhet er gitt i forskrift om behandling av personopplysninger (personopplysningsforskriften, heretter forkortet til pof) og da nærmere bestemt i kapittel 2 i forskriften. Det er ikke bare for behandling av personopplysninger som det stilles krav om informasjonssikkerhet. Også behandling av opplysninger som er underlagt taushetsplikt vil ha krav til informasjonssikkerhet. Forvaltningsloven vil være relevant her. Ett regelverk som både berører personopplysninger og taushetsbelagte opplysninger er en forskrift gitt i medhold av lov om behandlingsmåten i forvaltningssaker av 10. februar 1967 nr 00 (forvaltningsloven). Denne forskriften ønsker jeg å se nærmere på og den er gitt med hjemmel i forvaltningsloven 15a og med hjemmel i lov om elektronisk signatur av 15. juni 2001 nr 81 (esignaturloven). På grunn av at jeg har valgt å se på kommuner vil dette regelverket være relevant, siden forvaltningsloven med forskrifter gjelder for alle forvaltningsorganer, som i denne loven er et hvert organ for stat eller kommune, jf. forvaltningsloven 1 annet punktum. Andre rettslige krav til informasjonssikkerhet finnes også for en tredje type opplysninger. Dette er for opplysninger som må holdes hemmelig av hensyn til rikets sikkerhet. Sikkerhetsloven med forskrifter regulerer dette området. Dette er rettslige krav som også gjelder for kommuner siden lovens virkeområde også her er for et hvert organ for stat eller kommune jf. Sikkerhetsloven 2. Dette er et sett med regelverk som setter mange og helt konkrete krav til sikring og til hvordan informasjonssikkerhetsarbeidet skal gjennomføres. Jeg vil ikke komme videre inn på denne rettslige reguleringen i denne oppgaven, men i hovedsak konsentrere meg om kravene som gjelder for personopplysninger og taushetsbelagte opplysninger. Grunnen til dette er at sikkerhetsloven med forskrifter gjelder et forholdsvis lite Ørnulf Storm 7

8 omfattende område i en kommune mens de andre rettslige reguleringene omfatter hele kommunes virksomhet. Det er derfor mer interessant å se på disse rettslige kravene. Et annet moment er også at kravene som stilles i sikkerhetsloven med forskrifter også medfører at denne typen informasjon og informasjonssystemer må holder helt separat fra andre typer informasjon og informasjonssystemer. Disse vil derfor være spesialsystemer som en mindre del av kommunens ansatte kommer i kontakt med. Det vil derfor også gjelde helt bestemte krav for denne type informasjonssystemer. Det er dessuten et krav til forhåndgodkjenning av et informasjonssystem jf. sikkerhetsloven 13 første ledd. Det er Nasjonal sikkerhetsmyndighet eller den Nasjonal sikkerhetsmyndighet bemyndiger som er ansvarlig for denne forhåndgodkjenningen av informasjonssystemet. Rettslige sikkerhetskrav som gjelder for organisering av informasjonssikkerhetsarbeidet vil derfor normalt være ivaretatt før en behandling av skjermingsverdig informasjon behandles. Når det er sagt så kan det godt være at det kan være metoder og måter å gjøre ting på som kan være relevant også for behandling av opplysninger som ikke er omfattet av dette regelverket, men det vil som sagt ovenfor ikke bli studert nærmere i denne oppgaven. Annet regelverk slik som kommuneloven 17 og lov om interkommunale selskaper 18 kan ha innvirkning på forhold som ansvar og myndighet. Dersom det er momenter som er relevant i forhold til organiseringen av informasjonssikkerhetsarbeidet som går lenger enn det som allerede gjelder av krav for databehandler jf. pol 2 nr 5 og pol 13 og 15, vil det bli behandlet nedenfor. Personopplysningsloven (pol) Før en kommune kan behandle personopplysninger må den ha lov til å behandle disse. For at en behandling av personopplysninger skal være lovlig må kravene i pol 8 og eventuelt 9 dersom sensitive personopplysninger behandles samt at kravene i pol 11 må være tilfredstilt. Dette er beskrevet i detalj i juridisk litteratur 19 og vil derfor ikke bli beskrevet nærmere her. Legaldefinisjonene i pol 2 første ledd nr 4 og nr 5 beskriver henholdsvis behandlingsansvarlig og databehandler. Dette er to aktører som blir referert til i regelverket. Det er derfor viktig å være klar over hvem disse to aktørene er. Legaldefinisjonene er derfor gjengitt her: Pol 2 første ledd nr 4): behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, og Nr 5): databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, Pol 13 setter krav til at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet. Den stiller dessuten opp krav om at for å oppnå tilfredsstillende informasjonssikkerhet så skal den behandlingsansvarlige og databehandler dokumentere informasjonssystemet og sikkerhetstiltakene. Både for å gjennomføre planlagte og systematiske tiltak og for å kunne være i stand til å dokumentere krever dette en form for organisering. Det er dette jeg vil komme nærmere inn på i denne oppgaven. Pol 13 sier videre i fjerde ledd at det kan gis forskrift om informasjonssikkerhet ved behandling av personopplysninger herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak. Her er det den første gangen at loven nevner ordet organisatoriske, selv om at for å kunne tilfredsstille kravene i pol 13 første og annet ledd forutsetter dette som nevnt visse organisatoriske tiltak. 17 Lov om kommuner og fylkeskommuner (kommuneloven) 18 Lov om interkommunale selskaper 19 Schartum og Bygrave (2004) og Personopplysningsloven, kommentarutgave Wiik Johansen m.fl Ørnulf Storm 8

9 Aktør Oppgaver Referanse Behandlingsansvarlig Sørge for tilfredsstillende informasjonssikkerhet Pol 2 første ledd nr 4 Pol 13 Dokumentere informasjonssystemet Dokumentere sikkerhetstiltakene Databehandler Pol 2 første ledd nr 5 Pol 13 Daglig leder Pof 2-3 første ledd Sikkerhetsrevisor Bruker/Medarbeider Pof 2-3 fjerde ledd Pof 2-8 første ledd Annen behandlingsansvarlig Leverandør Kommunikasjonspartner Personverneombud Sikre at den behandlingsansvarlige følger personopplysningsloven med forskrift Pof 2-15 første ledd Pof 7-12 Tabell 1 - Oversikt over aktører Beskrivelse av oppgaver Gjennomføre sikkerhetsledelse som består av Lage sikkerhetsmål Lage sikkerhetsstrategi Lage en oversikt over behandlinger av personopplysninger Fastlegge kriterier for akseptabel risiko for alle behandlinger Gjennomføre risikovurdering som omfatter alle behandlinger. Dette omfatter å klarlegge sannsynligheten og konsekvenser av sikkerhetsbrudd. Sammenligne resultatet av risikovurderingen med kriterier for 2-3 og 2-4 Ørnulf Storm 9

10 akseptabel risiko Gjennomføre risikovurdering ved endringer. Dokumentere risikovurderingen. Gjennomføre sikkerhetsrevisjon som består av Vurdere organisering Vurdere sikkerhetstiltak Vurdere bruken av kommunikasjonspartnere og leverandører. Ved avdekkelse av avvik i forhold til rutiner skal dette rapporteres som avvik. Se punktet om avviksbehandling under sikkerhetsadministrasjon. Dokumentere sikkerhetsrevisjonen Gjennomføre sikkerhetsadministrasjon (Noe som jeg har definert) som består av Gjennomføre avviksbehandling som består av o Behandle bruk av informasjonssystemet som er i strid med rutiner som avvik. o Behandle sikkerhetsbrudd som avvik. o Ved avvik sørge for å gjenopprette informasjonssystemet til normal tilstand. o Ved avvik sørge for å fjerne årsaken til avviket. o Ved avvik sørge for å hindre gjentagelse av samme type avvik. o Rapportere til Datatilsynet dersom avvik har medført utlevering av taushetbelagte personopplysninger til uvedkommende. o Dokumentere avviksbehandlingen. o Gjennomføre tiltak for å hindre uautorisert bruk. o Gjennomføre tiltak for å kunne oppdage uautorisert bruk. o Registrere forsøk på uautorisert bruk. o Tiltakene skal være vanskelige eller umulige å omgå. o Tiltakene ovenfor skal ikke begrenses til kjente og forventede handlinger. o Dokumentere alle sikkerhetstiltak. Organisering av virksomheten som omfatter o Etablere klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. o Ikke endre de fastlagte ansvars- og myndighetsforhold uten autorisasjon fra daglig leder. o Sørge for at bruk av informasjonssystemet som har betydning for informasjonssikkerheten utføres i henhold til fastlagte rutinger. o Lage brukerinstruks for informasjonssysemet og første og annet ledd 2-7 femte ledd implisitt i 2-7 femte ledd Ørnulf Storm 10

11 og 2-16 første ledd Gjennomføring av sikkerhetstiltak som omfatter o Konfigurere informasjonssystemet for å oppnå tilfredstillende informasjonssikkerhet. o Dokumentere denne konfigurasjonen. o Ikke endre konfigurasjon uten godkjenning fra daglig leder. o Legge til rette for at bruk av informasjonssystemet bare omfattes til å gjennomføre pålagte oppgaver. o Autorisere brukere av informasjonssystemet o Gjennomføre opplæring av brukere. o Registrere autorisert bruk av informasjonssystemet. Informere medarbeidere om taushetsplikt for opplysninger og for sikkerhetstiltak. Etablere og gjennomføre fysisk adgangskontroll til utstyr og installasjoner som behandler personopplysninger og som har betydning for informasjonssikkerheten. Gjennomføre tiltak for å sikre konfidensialitet o For informasjon o For informasjon med betydning for sikkerheten o Kryptere informasjon utenfor kontroll o Beskytte lagringsmedium o Merke lagringsmedium o Slette informasjon på lagrinsmedium som ikke lenger skal brukes. Sørge for tilgjengelighet for informasjon o Av informasjon o Av informasjon med betydning for sikkerheten o Sørge for mulighet for alternativ behandling av informasjon o Foreta nødvendig sikkerhetskopiering av informasjon og system/konfigurasjonsinformasjon. Sørge for integritetsbeskyttelse o For informasjon o For informasjon med betydning for sikkerheten 2-7 tredje og fjerde ledd 2-8 første ledd annet ledd tredje ledd første og annet ledd Andre sikkerhetstiltak o Treffe tiltak mot ødeleggende programvare Sikkerhet hos andre enn virksomheten selv o Kun overføre personopplysninger til andre som etterlever kravene i forskriften o Etablere klare ansvars- og myndighetsforhold overfor 2-13 tredje ledd 2-15 Ørnulf Storm 11

12 kommunikasjonspartnere og leverandører. o Sørge for å skaffe seg kunnskap om sikkerhetsstrategien hos kommunikasjonspartnere og leverandører. o Jevnlig forsikre seg om at denne sikkerhetsstrategien gir tilfredstillende informasjonssikkerhet.(bør flyttes til punktet med risikovurderingen) Dokumentasjon 2-16 o Dokumentere sikkerhetstiltak 2-14 fjerde ledd o Dokumentere rutiner for bruk av informasjonssystemet (lage 2-16 brukerinstruks) o Dokumentere informasjon som har betydning for sikkerheten. o Lagre all dokumentasjon i minst 5 år fra det tidspunktet dokumentasjon erstattes med ny dokumentasjon o Lagre registrering av autorisert bruk i minst 3 måneder. o Lagre registrering av uautorisert bruk i minst 3 måneder. o Lagre alle hendelser som har betydning for sikkerheten i minst 3 måneder. (også hente eller kopiere krav om dokumentasjon ifm sikkerhetsledelse, risikovurdering og sikkerhetsrevisjon.) Tabell 2- Oversikt over oppgaver beskrevet i personopplysningsloven og personopplysningsforskriften Andre rettskilder Jeg har i det ovenstående tatt utganspunkt i personopplysningslovens og personopplysningsforskriftens ordlyd. Når en skal ta stilling hva en rettsregel går ut på må en i tillegg ta med i tolkningen andre rettskilder som lovforarbeider, rettspraksis, og da særlig høyesterettsdommer, forvaltningspraksis, andre ytre faktorer (Erik Boe, 1996, 4.opplag 2003:143) 20. Siden jeg ikke er jurist vil denne gjennomgangen og tolkning av andre rettskildefaktorer nødvendigvis ikke bli fullstendig fra et rent juridisk perspektiv. Bruken av rettskilder vil heller ikke bli helt uttømmende men jeg vil kun ta med de som jeg anser som mest relevante. (ikke relevansvurdering). Utredningen et bedre personvern, NOU 1997:19 peker på at når det gjelder sikring av personopplysninger er det vanlig å fokusere på tiltak av tekniske og organisatoriske art 21 Forarbeidene 22 (Ot. Prp. Nr. 92:71) til personopplysningsloven refererer nettopp også til at NOU 1997:19 sikter til regler om tiltak av tekniske og organisatorisk art. Forarbeidene henviser også til artikkel 17 i EU-direktivet 23 som sier at medlemslandene skal gi regler om den behandlingsansvarliges plikt til å iverksette tekniske og organisatoriske tiltak for å beskytte personopplysninger. Departementet slår dessuten fast at det er i kombinasjon med 20 Erik Boe, 1996, 4.opplag 2003, Innføring i jus Juridisk tenkning og rettskildelære, Universitetsforlaget 21 NOU 1997:19 Et bedre personvern forslag til lov om behandling av personopplysninger. 22 Ot. Prp. Nr. 92 ( ) Om lov om behandling av personopplysninger (personopplysningsloven). 23 Europa-parlamentet og rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med beandling af personoplysninger og om fri udveksling af sådanne oplysninger. Ørnulf Storm 12

13 bestemmelsen om internkontroll i personopplysningsloven 14 at loven pålegger krav for å ivareta personvernet. 24 eforvaltningsforskriften eforvaltningsforskriften inneholder også rettslig regulering av krav og organisering til informasjonssikkerhet. Jeg vil ikke kommentere hver enkelt paragraf i forskriften men kun komme med merknader der forskriften setter krav til informasjonssikkerhet eller omhandler noe som har betydning for organiseringen av informasjonssikkerhetsarbeidet. I og med at forskriften er gitt med blant annet hjemmel i forvaltningsloven jf. Forvaltningsloven 15a, vil forskriften gjelde for alle kommuner. Formålet med forskriften slås fast i 1 nr 1 og er at formålet er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Her nevnes sikker bruk og det gir meg en pekepinn på at denne forskriften er relevant for oppgaven min. Forskriften gjelder dessuten for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen når ikke annet er bestemt i lov eller i medhold av lov, jf. 1 nr 2. Det vil si at den gjelder for alle borgere sin kommunikasjon til en kommune og kommunikasjon fra en kommune og til borgere. I tillegg vil den gjelde for all elektronisk saksbehandling i en kommune og kommunikasjon internt i en kommune og all kommunikasjon som en kommune har med andre forvaltningsorganer. 4 nr 1 slår fast at en bruker kan henvende seg til forvaltningsorganet uten bruk av sikkerhetstjenester eller produkter med mindre det er finnes andre hindre for dette. Disse hindrene kan være at det er nødvendig å bruke sikkerhetsprodukter eller produkter for oppfylle kravene i 4 nr 2 og nr 3, for å oppfylle krav som følger av 5 eller for å oppfylle krav fastsatt i annen lov eller i medhold av lov. Dette vil ha betydning for organiseringen av sikkerhetsarbeidet siden det vil være oppgaver og aktiviteter som vil måtte legges opp i henhold til dette. For enkelte sikkerhetstjenester vil det mange ganger være lettest å implementere god sikkerhet for alle typer operasjoner. Dersom en skal kunne gi mulighet for å differensiere vil dette normalt kreve bedre organisering og planlegging samt at det setter større krav til sikkerhetsadministrasjon. 24 Se punkt 9.6 side 72 i Ot. Prp. Nr. 92 ( ) Ørnulf Storm 13