Endelig kontrolirapport Kontrollobjekt: Arbeids- og velferdsdirektoratet Sandnes kommune Strand kommune Rennesøy kommune

Transkript

1 : :,.. Datatitsynet Saksnummer: 11/ / / /00796 Dato for kontroll: august 2011 Dato foreløpig rapport: 3. februar 2012 Dato endelig rapport: 22. mars 2012 Endelig kontrolirapport Kontrollobjekt: Arbeids- og velferdsdirektoratet Sandnes kommune Strand kommune Rennesøy kommune Utarbeidet av: Helge Veum, senioringeniør Camilla Nervik, rådgiver Eirin Oda Lauvset, rådgiver 1 Innledning Datatilsynet gjennomførte i august 2011 kontroll ved tre lokale NAV-kontor i Rogaland. Kontorene var Sandnes, Strand, og Rennesøy. Kontrollene ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Kontrollene var et ledd i Datatilsynets oppfølgingen av NAV, og etterfølger tidligere kontroller i 2007 og De stedlige kontrollene rettet seg både mot kommunen og Arbeids- og velferdsdirektoratet som behandlingsansvarlige. Valget av lokale kontor var basert på et ønske om å føre tilsyn med et stort, et middels og et lite kontor lokalisert i nærheten av hverandre. Det lå ikke andre forhold til grunn for utvelgelsen av de konkrete kontorene. Overordnet formål med kontrollene var å undersøke hvordan NAV-kontorene sin behandling av personopplysninger samsvarer med de krav som personopplysningsloven med forskrifter oppstiller. Datatilsynet ønsket spesielt å se på kommunenes ivaretakelse av plikter i forbindelse med drift av de tre NAV-kontorene. Av særlig interesse var grenseflatene mellom de behandlinger av personopplysninger som kommunene er behandlingsansvarlige for, og de behandlinger Arbeids- og velferdsdirektoratet er behandlingsansvarlig for. Kontrollene med NAV som ble gjennomført høsten 2007 var rettet mot tre lokale NAVkontor, som alle var pilotkontor. Kontrollene i 2010 var rettet mot Arbeids- og velferdsdirektoratet og NAV Kontaktsenter Bodø. Etter kontrollen i 2010 ble det fattet vedtak overfor NAV blant annet knyttet til tilgangsstyring og logging i flere av de statlige fagapplikasjonene. På tidspunktet for kontrollene høsten 2011 var ikke disse avvikene lukket, og gjennomføringen avhenger delvis av tiltak under moderniseringsprogrammet for fagsystemene i NAV. 1 det følgende vil Datatilsynet beskrive de faktiske forhold som her er relevante. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 1 av 33

2 2 Sammendrag Kontrollene med NAV høsten 2011 er en oppfølging av kontroller med NAV-kontor i 2007 og NAV-direktorat i Rapporten omhandler kontroll med Arbeids- og velferdsdirektoratet og kommunene Sandnes, Strand og Rennesøy. Følgende hovedfunn trekkes frem fra den foreliggende rapporten: Konfidensialitetssikringen i NAV er ikke tilfredsstillende. Dette fordi det gis svært vide tilganger, og logging og bruk av logger er mangelfull. Dette er tidligere dokumentert i kontrollen med direktoratet i Det er i tillegg ikke etablert tilstrekkelige rutiner for tildeling av tilganger. Manglende konfidensialitetssikring gjelder både kommunale og statlige fagsystem. Kommunene har ikke i tilstrekkelig grad ivaretatt sin selvstendige plikt til å sørge for tilfredsstillende informasjonssikkerhet i integrasjonen med NAV. Kunnskap om teknisk utforming var mangelfull og det var ikke gjennomført risikovurderinger. For enkelte tjenesteområder ble personopplysninger registrert i statlige fagapplikasjoner uten at det var avklart om det var stat eller kommune som var ansvarlig for personopplysningene. Registrering i statlige fagapplikasjoner innebærer at opplysningene eksponeres for en større krets ansatte. 2 av 33

3 3 Innhold i rapporten 1 Innledning 1 2 Sammendrag 2 3 Innhold i rapporten 3 4 Gjennomføring av kontrollene Agenda Tilstede under kontrollen med NAV Sandnes Tilstede under kontrollen med NAV Strand Tilstede under kontrollen med NAV Rennesøy Tilstede under samtlige kontroller 5 5 Generelt om NAV og NAV-kontorene Generelt om NAV Generelt om NAV Sandnes Generelt om NAV Strand Generelt om NAV Rennesøy 7 6 Kort gjennomgang av de ulike fagsystemene i NAV Arena Gosys PESYS BISYS Personkortet Infotrygd 10 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Overordnet internkontroll og sikkerhetsledelse Informasjonssikkerhet kommunenes integrasjon med NAV-stat Konfidensialitetssikring logging i kommunal fagapplikasjon Konfidensialitetssikring uautoriserte oppslag av egne ansatte Behandlingsansvar og databehandleravtale - felles fagsystem Avvikshåndtering 32 3 av 33

4 4 Gjennomføring av kontrollene Følgende stedlige kontrollene ble gjennomført: NAV Sandnes, gjennomført 29. august 2011 NAV Strand, gjennomført 30. august 2011 NAV Rennesøy, gjennomført 31. august 2011 Datatilsynet varslet før kontrollen at følgende områder ville bli gjennomgått: Organiseringen av NAV-kontorene, informasjonssikkerheten hos kommunen med hensyn til kommunenes fagapplikasjon(er) som benyttes ved kontorene, tilgangsstyring og logging for fagapplikasjoner ved NAV-kontorene, og arbeidsprosesser ved NAV-kontoret med fokus på tilgjengelighet og etterlevelse av rutiner. Sammen med varsel om kontroll ba Datatilsynet om at kommunene og NAV-direktorat oversendte en rekke dokumenter. Det vises her til varsel om kontroll for hhv. kommunene og NAV-direktorat. 4.1 Agenda Kontrollene ble gjennomført etter følgende agenda: Åpningsmøte Orientering ved NAV-kontoret om kontorets form og arbeidsmetoder Samtale med den kommunale ledelse om ivaretakelse av personopplysningslovens plikter, internkontroll og informasjonssikkerhet Vurderinger for tildeling av tilganger ved NAV-kontoret og gjennomgang av praksis for tilganger og oppfølging av logger Oppklarende samtaler og intervju med ansatte Sluttmøte Møtetid under kontrollene var fra kl til Tilstede under kontrollen med NAV Sandnes Fra NAV Sandnes: Ågot Elise Vatnedal, leder NAV Sandnes Grethe Finnås, organisasjonsrådgiver Marianne Gjesdal Lyngås, identitetsansvarlig / fagansvarlig Dan Allingshamn, teamleder Fra Sandnes kommune Hilde Lofthus, organisasjonsdirektør Wenche S. Eris, kvalitets- og utviklingssjef Sigrun Homlad, forhandlingssjef 4 av 33

5 4.3 Tilstede under kontrollen med NAV Strand Fra NAV Strand: Nils Kjetil Nessa, leder NAV Strand Fra Strand kommune: Marianne Skogerbø, kom. leder Oppvekst og levekår Terje Ersland, kvalitetssjef Tommy Eriksen, IT-konsulent Ingeborg Drønen Tungland, IT-sjef 4.4 Tilstede under kontrollen med NAV Rennesøy Fra NAV Rennesøy: Inger Lise Bru, leder NAV Rennesøy Fra Rennesøy kommune: Knut Underbakke, rådmann - Lillian Ydstebø, kommunalsjef for helse og velferd Rennesøy - Inger Bjørkum Leigvold, IT-konsulent Randaberg kommune 4.5 Tilstede under samtlige kontroller Fra Arbeids- og velferdsdirektoratet (sentralt): Steinar Johannesen, seniorrådgiver arbeids- og velferdsdirektoratet (PIBA) Fra NAV Fylke Bjøm Sæstad, ass, fylkesdirektør NAV Rogaland (Sandnes og Strand) - Knut Knapstad, NAV serviceenhet Rogaland Datatilsynet: Helge Veum, senioringeniør Camilla Nervik, rådgiver Eirin Oda Lauvset, rådgiver 5 av 33

6 5 Generelt om NAV og NAV-kontorene 5.1 Generelt om NAV NAV-reformen innebærer at tjenesten fra tidligere Aetat, trygdeetaten, samt deler av sosialtjenesten i kommunene er slått sammen til en ny Arbeids- og velferdsetat. De lokale NAV-kontorene er et samarbeid mellom kommunen og NAV, og til grunn for samarbeidet ligger følgende retningslinjer: Lov om arbeids- og velferdsforvaltningen (NAV-1oven), Lov om sosiale tjenester i NAV, Lov om sosiale tjenester m.v. (sosialtjenesteloven), kap. 5A Kvalifiseringsprogram og kvalifiseringsstønad, Lokale samarbeidsavtaler mellom direktorat og kommune Hovedansvaret for sosialtjenesten ligger hos kommunene. NAV-kontorene skal imidlertid som et minimum ivareta kommunens oppgaver etter lov om sosiale tjenester i NAV. Minimumsløsningen består av : økonomisk stønad midlertidig botilbud kvalifiseringsprogram I tillegg til minimumsløsningen velger noen kommuner å innta også tjenester som gjeldsrådgivning, boligstøtte, ungdomssatsing, tilbud til innbyggere med rusproblematikk og bistand til flyktninger. Øverste leder i Arbeids- og velferdsdirektoratet er behandlingsansvarlig for behandling av personopplysninger som gjøres i den statlige delen av NAV, det vil si tid1igere Aetat og trygdeetaten. Øverste leder i kommunen er behandlingsansvarlig for behandling av personopplysninger som gjøres i forbinde1se med kommunale oppgaver. Behandling av personopplysninger som foretas med hjemmel i sosialtjenesteloven, og visse behandlinger som følger av lov om sosiale tjenester i NAV, er eksempler på slike oppgaver. 5.2 Generelt om NAV Sandnes NAV Sandnes ble etablert som NAV-kontor i september 2009, og er det største NAVkontoret i Rogaland. Sandnes kommune har ca innbyggere, og det er ett NAV-kontor i kommunen. Ved kontoret er det 102 ansatte, og kontoret ledes av en felles leder for både statlig og kommunalt ansatte. Daglig betjenes det ca 300 publikumshenvendelser som ikke er forhåndsavtalt. NAV-kontoret har den såkalte minimumsløsningen. NAV-kontoret er inndelt i syv team; fire som har oppgaver knyttet til langvarig oppfølging av brukere, to som har oppgaver knyttet til publikumsmottak og ett for felles tjenester. Teamene er sammensatt av både kommunalt og statlig ansatte, og det arbeides etter prinsipper om én dør inn til NAV, &I kø frem, én tjeneste ut og én konsulent knyttet til hver enkelt bruker. 6 av 33

7 Det var fokus på at det var NAV-tjenester som ble ytt ved kontoret, og at det var av mindre betydning om tjenestene var ansett som statlige eller kommunale. 5.3 Generelt om NAV Strand Strand kommune har ca innbyggere. NAV Strand ble etablert som NAV-kontor i 2006 og var et såkalt pilotkontor. Det er ca 30 ansatte (fordelt på ca 25 stillinger) ved kontoret, og det ledes av en felles leder for kommunalt og statlig ansatte. Kontoret er organisert i et mottaksteam og et team for oppfølging av brukere over tid. Publikumsmottaket styres etter et prinsipp om at alle skal kunne svare på henvendelser fra brukerne. NAV Strand er opptatt av å yte enhetlige tjenester ut i fra individuelle behov, og tilstreber å etterleve prinsippet om en at det skal være én dør inn til NAV. Ved behov for oppfølging over tid overføres bmkeren til oppfølgingsteamet. I oppfølgingsteamet fordeles brukerne på veilederne ut i fra brukerens fødselsnummer. Kommunen og staten har valgt å gå noe ut over den såkalte "minimumsløsningen" i samarbeidet. I tillegg til økonomisk sosialhjelp, har kommunen tatt med gjeldsrådgivning, boligstøtte og tjenester til flyktninger og personer med rusproblematikk. 5.4 Generelt om NAV Rennesøy Rennesøy kommune har ca innbyggere, og det er stor tilflytning til kommunen. Kommunen har inngått et IKT-samarbeid med kommunene Randaberg og Kvitsøy. NAV-kontoret ble etablert i slutten av november Det er ca. 10 ansatte ved kontoret, med til sammen 6 stillingshjemler som er fordelt på 3,8 kommunale stillinger og 2,2 statlige stillinger. De ansatte er tildelt hovedansvarsområder, men er langt på vei generalister arbeidshverdagen. Med relativt få ansatte er det behov for at alle skal kunne påta seg de fleste typer oppgaver. Alle ansatte sitter f.eks i mottaket. Kontoret er organisert i korttidsoppfølging og langtidsoppfølging av brukere. Publikumsmottaket er en fellesoppgave for alle ansatte. NAV Rennesøy er, i likhet med de to andre kontorene, opptatt av å yte enhetlige tjenester ut i fra individuelle behov, og tilstreber å etterleve prinsippet om en at det skal være én dør inn til NAV Datatilsynet hadde inntrykk av at det var en høyere bevissthet omkring skillet statlige og kommunale oppgaver ved dette kontoret enn ved de to andre kontorene. Dette kom til uttrykk ved at de ansatte var bevisst på om de var statlig eller kommunalt ansatt, og at man har valgt å ta i bruk både et statlig og kommunalt internkontrollsystem ved kontoret. NAV Rennesøy har, i likhet med NAV Strand, valgt å gå noe ut over den såkalte "minimumsløsningen" i samarbeidet mellom stat og kommune. I tillegg til økonomisk sosialhjelp, har kommunen tatt med gjeldsrådgivning, og tjenester på feltene flyktninger, ungdomssatsing, rus og boligstøtte. 7 av 33

8 6 Kort gjennomgang av de ulike fagsystemene i NAV Det gis her en oversikt over de ulike fagapplikasjonene som benyttes i NAV. Oversikten er det vesentlige lik tilsvarende oversikt i rapporten etter kontrollene i 20101, med unntak av mindre endringer for fagapplikasjonene Arena og Gosys. Vurderinger mot krav i regelverket gjøres tematisk senere i rapporten. 6.1 Arena Arena er et oppfølgingsverktøy som benyttes til å behandle søknader, utbetaling og oppfølging av den enkelte klient. Arena brukes blant annet i forbindelse med søknad om arbeidsavklaringspenger iverksettelse og gjennomføring av arbeidsevnevurdering iverksettelse og gjennomføring av kvalifiseringsprogram Kvalifiseringsprogrammet er en ren kommunal tjeneste, mens kartleggingen som gjennomføres for å avklare den enkeltes bistandsbehov, jf. NAV-loven 14 a gjøres uavhengig av om bistandsbehovet består av kommunale eller statlige ytelser. Dette forholdet omhandles i rapportens 7.5. Arena ble etter Datatilsynets kontroll i 2007 vesentlig endret. Arena var også gjenstand for kontroll i Tilgangene i Arena kan styres på rolle og geografisk tilhørighet. Tilgangene kan gis permanent eller tidsbegrenset. De rollebaserte tilgangene er delt inn i "saksbehandler", "sensitiv" og "medisinsk" tilgang. De geografiske rollene er inndelt i lokalt kontor, fylkestilgang og nasjonal tilgang. I tillegg finnes det også en mulighet i Arena til "kontorsperring" av opplysninger. Opplysninger som er underlagt denne kategorien vil ikke være tilgjengelige for andre ansatte i NAV utover de som er tilknyttet det samme NAVkontoret. Tilgangene som gis omfatter alle tjenestemottakere innen rammen for tilgangen, og det er ikke gitt noen begrensninger i "historiske data" selv om den registrerte ikke er aktiv tjenestemottaker i NAV. I Arena er det mulig å gi utvidbare, tidsbegrensede tilganger til henholdsvis fylke eller land. Dette innebærer at medarbeideren selv angir et konkret formål for tilgangen, og at medarbeideren deretter får utvidet tilgangen i for eksempel 24 timer. Den utvidbam tilgangen varer dagen ut eller ut sesjonen, og det er tvungen avslutning etter endt tilgangsperiode. Utvidet tilgang må begrunnes og denne begrunnelsen logges. Arena har også mulighet for å gi medarbeiderne permanente tilganger til fylke eller land. Arena har logging av alle handlinger i systemet. Datatilsynets 10/ Endelig kontrolkapport, kapittel av 33

9 6.2 Gosys Gosys er etatens landsdekkende registreringssystem for inngående dokumenter, og det skal på sikt også omfatte utgående dokumenter. Dokumenter som er innkommet og registrert i Gosys sendes videre til systemene hvor sakene skal følges opp, eksempelvis Arena eller Infotrygd. Dokumenter som sendes til skanning journalføres i Gosys, og lagres i arkivet JOARK. Dokumentene vises i Gosys. Direktoratet beskriver Gosys som en felles arbeidsflate for saksbehandlere og veiledere på tvers av fagsystemene for å fange opp aktiviteter, oppgavebehandling, fordeling av oppgaver, skanning og journalføring av dokumenter med mer. Gosys skal sikre enhetlig samhandling, tilgjengeliggjøring og deling av informasjon på tvers av fagområder og organisering. Gosys samhandler med en rekke andre komponenter og systemer, herunder ulike fagsystemer, telefoniløsninger, registre og databaser, samt løsninger for dokumenthåndtering og arkiv. Tilgangsstyringen i Gosys er rollebasert, og rollene er i tillegg gitt geografiske avgrensninger. Tilgang kan være nasjonal, utvidbar nasjonal, regional, utvidbar regional og utland. Tilgangene kan gis permanent eller tidsbegrenset. Den utvidbare tilgangen gjelder så lenge medarbeideren arbeider med oppgaven for den aktuelle brukeren. Bruk av utvidbar tilgang og begrunnelsen som gis ved oppslag logges. I tillegg er det i Gosys mulighet for å definere et dokument som "sensitivt". Et slikt dokument vil kun være tilgjengelig for de medarbeidere i NAV som er tildelt rettighet til å lese sensitive dokumenter. Alle aktiviteter i Gosys logges. Logg over oppslag på person oppbevares i ett år, og logg over oppslag i dokument lagres i rullerende logger som overskrives etter ca ett døgn. Lagringstiden ble oppgitt under intervju. Etter NAVs dokumentasjon fremgår det at Gosys-loggen lagres 2 til 3 måneder. 6.3 PESYS PESYS er etatens verktøy for veiledning og saksbehandling på pensjonsområdet. PESYS brukes til å opprette, fordele og utføre oppgaver. Systemet inneholder brukeroversikt med opplysninger om tjenestemottaker og pensjonsoversikt for saksbehandlere. I systemet fattes vedtak på langtidsytelser, og det inneholder beregningssystem på alle pensjonsytelsene. Tilgangene i PESYS er rollebaserte, og direktoratet har utarbeidet rutiner for tilgangsstyring i PESYS2. Geografisk er tilgangen delt mellom lokal og nasjonal tilgang. PESYS har logger både på lesing og skriving, men dette er knyttet til bestemte lese- og skriveoperasjoner. Lesing av sensitiv informasjon skal logges, samt at skriving av informasjon som har et middels nivå av integritetsbehov skal logges. Aktiviteter utført i PESYS logges ikke. Det går imidlertid frem av rutinen at bruk av funksjonen "nasjonalt søk med logg" blir registrert. 2 Rolle- og regelbasert tilgangskontroll i Pensjonsløsningen 9 av 33

10 6.4 BISYS BISYS er saksbehandlingssystemet for bidragssaker. Systemet kommuniserer direkte med de systemene NAV Innkrevning benytter for innkreving og regnskapsføring av underholdningsbidrag, og med de systemene som benyttes for utbetaling av bidrag. Tilgangsstyringen i BISYS er basert på geografisk filherighet og rolle. Skrivetilganger gis til den enheten som saken er registrert på, og NAV Klage og anke gis kun tilgang til å saksbehandle spesifikke saker. I bidragssaker vil to kontorer bli knyttet sammen dersom partene i bidragssaken hører til ulike NAV-kontor. Tilgang til saken gis dersom en av partene hører til kontoret. Endringer og tilføyelser i BISYS logges, men oppslag logges ikke. 6.5 Personkortet Personkortet presenterer nøkkelinformasjon om en person hentet fra de viktigste fagsystemene i dagens etater og kommunenes sosialsystemer. Det finnes kun lesetilganger i Personkortet, og det lagres ikke opplysninger i Personkortet. Innsyn i Personkortet logges i en database som rullerende logg. Loggen er lagret tilbake til Infotrygd Infotrygd er saksbehandlingssystemet som gir støtte i vedtak og utbetalingsprosess for de fleste av saksområdene til tidligere Trygdeetaten. Systemet har grensesnitt mot de fleste av NAVs systemer. Tilgangsstyringen i Infotrygd er basert på geografisk tilhørighet og ulike roller. Infotrygd har vært berørt i tidligere kontroller, og det ble ikke gått nærmere inn i dette under denne kontrollen. Endringer og tilføyelser i Infotrygd logges, mens oppslag ikke logges. 10 av 33

11 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 7.1 Overordnet internkontroll og sikkerhetsledelse Datatilsynet hadde til hensikt å kontrollere hvordan kommunen og direktoratet ivaretar sitt ansvar for internkontroll og informasjonssikkerhet ved NAV-kontorene Krav i regelverket Personopplysningslovens 14 stiller krav om at den behandlingsansvarlige gjennom planlagte og systematiske tiltak (internkontroll) sikrer at lovens krav ivaretas. Utfyllede bestemmelser er gitt i personopplysningsforskriftens 3-1. Personopplysningslovens 13 og personopplysningsforskriftens 2. kapittel stiller krav om planlagte og systematiske tiltak for å oppnå tilfredsstillende informasjonssikkerhet. I personopplysningsforskriftens 2-3 fastsettes ledelsesansvaret for informasjonssikkerheten, samt at det stilles krav om at sikkerhetsmål og sikkerhetsstrategi fastsettes. I 2-4 stilles det, foruten krav om risikovurderinger, krav om at virksomheten fører oversikt over personopplysninger som behandies og at det fastsettes kriterier for akseptabel risiko for disse. 2-7 stiller krav om at ansvars- og myndighetsforhold etableres. Krav om oppfølging av sikkerhetsarbeidet følger av forskriftens 2-3, 2-5 og 2-6 om hhv ledelsens gjennomgang, sikkerhetsrevisjon og avvikshåndtering. Før kontrollene hadde alle NAV-kontorene oversendt sine styrende dokumenter for internkontroll til Datatilsynet for gjennomgang. Det vises også til rapportens omtale av manglende avklaringer om ansvar rundt arbeidsevnevurdering i rapportens 7.5. Slike avklaringer er en del av plikten til intemkontroll etter personopplysningsloven 14, men er særskilt behandlet i denne rapporten Funn Generelt For alle de tre NAV-kontorene var det utarbeidet lokal sikkerhetsinstruks, og det statlige dokumentetfelles sikkerhetsnormer ble lagt til grunn S esielt for NAV Sandnes Når det gjelder overordnet sikkerhetsstrategi og sikkerhetsmåi viser kommunen til oppkoblingsavtalen som er en samarbeidsavtale me1lom NAV og Sandnes kommune. Sandnes kommune har en bestiller-utfører tilnærming til sikkerhet. Internkontrollen ved NAV-kontoret er etablert med utgangspunkt i malene fra staten, og er i liten grad knyttet mot kommunens dokumentasjon. Kommunen legger til grunn at informasjonssikkerheten ivaretas ved NAV-kontoret med utgangspunkt i de statiig styrte prosessene, og at de statlige dokumentene tilfredsstiller de 11 av 33

12 krav kommunen har stilt i sine styrende dokumenter for informasjonssikkerhet. Kommunen hadde anledning til å gjennomføre sikkerhetsrevisjoner, men dette var ikke planlagt eller gjennomført. Sikkerhetsarbeidet ved NAV-kontoret fremsto som relativt løsrevet den kommunale sikkerhetsledelse S esielt for NAV Strand Kommunen var i en prosess med å etablere internkontroll etter personopplysningsloven. At kommunen i Datatilsynets kommuneundersøkelse3 rapporterte at internkontroll ikke var etablert, var delvis bakgrunnen for at kommunen nå hadde satt fokus på intemkontroll. Datatilsynet fikk fremlagt dokumentasjon som var utarbeidet. Deler av dokumentasjonen var ikke godkjent. Kommunen redegjorde for en plan om fullføring i løpet av høsten Sikkerhetsmål og sikkerhetsstrategi var utarbeidet. Kommunen ville videre gjennomgå lokal sikkerhetsinstruks for NAV-kontoret og kvalitetssikre denne mot kommunale krav. Kommunens ledelse har en formening om at dokumentene utarbeidet for NAV-kontoret var i samsvar med kommunens valg S esielt for NAV Rennes Kommunen gjorde i brev av 19. august og i møte rede for at kommunen ikke hadde etablert systematiske tiltak for internkontroll og informasjonssikkerhet etter personopplysningslovens 13 og 14. Dette samsvarer med svar kommunen tilbakemelding kommunen har gitt Datatilsynet i følge med kommuneundersøkelsen4. Kommunen gjorde rede for sin plan for etablering av intemkontroll. For NAV-kontoret var det etablert lokal sikkerhetsinstruks og felles sikkerhetsnormer ble lag til grunn for arbeidet ved kontoret. Videre ble kommunes kvalitetssystem for sosialtjenesten fulgt. De ansatte forholdt seg til både kommunens og statens rutiner, for det gjennomførende. Som daglige rutiner for informasjonssikkerhet ble det lagt til grunn at lokal sikkerhetsinstruks og felles sikkerhetsnormer var tilstrekkelige Konklusjon S esielt for NAV Sandnes Internkontroll, inkludert styring av infonnasjonssikkerhetsarbeidet, er etablert ved NAVkontoret. Det stilles imidlertid spørsmål ved om rutinene i tilstrekklig grad er forankret i kommunens ledelse. Det konstateres ikke avvik fra regelverket. 3 Våren 2010 gjennomførte Datatilsynet en systematisk kartlegging av norske kommuners etterlevelse av systempliktene i personopplysningsloven, med utgangspunkt i internkontrollplikten etter personopplysningslovens Se fotnote av 33

13 S esielt for NAV Strand Kommunen var på kontrolltidspunktet nær ferdigstilling av overordnede planlagte systematiske tiltak for internkontroll og informasjonssikkerhet, og gjorde rede for en forsvarlig prosess mot fullførelse. At internkontrollen på kontrolitidspunktet ikke var ferdigstilt er et avvik fra personopplysningslovens 13 og 14. Det legges imidlertid til grunn at kommunen på rapporttidspunktet har godkjent utarbeidede dokumenter, og utarbeidet det vesentlige av rutiner på gjennomførende nivå S esielt for NAV Rennes Kommunen hadde ikke etablert overordnede planlagte systematiske tiltak for internkontroll og informasjonssikkerhet. Dette er et avvik fra personopplysningslovens 13 og 14. Konkret var det var blant annet fravær av sikkerhetsmål og sikkerhetsstrategi i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-3, og rutiner for sikkerhetsrevisjoner i samsvar med forskriftens 2-5. Videre hadde ikke kommunen en fullstendig oversikt over behandlinger av personopplysninger, noe som er nødvendig for å etablere internkontroll Generell kommentar Datatilsynet bemerker at internkontroll er et vesentlig element for å sikre en forsvarlig behandling av personopplysninger. Landets kommuner håndterer store mengder personopplysninger, hvorav mange av opplysningene også er sensitive. For videre veiledning rundt internkontroll og informasjonssikkerhet, viser Datatilsynet til veiledningsmateriale på tilsynets hjemmesider 13 av 33

14 7.2 Informasjonssikkerhet kommunenes integrasjon med NAV-stat Datatilsynet gjennomførte tilsvarende kontroll i 2007 med om kommunene hadde tilstrekkelig kunnskap om integrasjonen med NAV-stat, og om kommunene hadde ivaretatt sin plikt til å ha dokumentert konfigurasjonen og risikovurdert løsningen. Generelt var ikke dette ivaretatt i Det vises til endelig kontrollrapport fra Tilgjengeliggjøring av kommunalt fagsystem i NAV-nettet og uttrekksløsning for å hente kommunale opplysninger som skal presenteres i personkortet ble kontrollert. For tilgang til kommunal desktop, kan de ansatte ved NAV-kontoret gis tilgang til det kommunale informasjonssystemet ved at deler av dette gjøres tilgjengelig over NAV-stats infrastruktur. Dette reiser spørsmål om i hvilken grad kommunene har kontroll med aksessen som gjøres mot det kommunale fagsystemet. Diskusjonen her omhandler forhold som kommunene er behandlingsansvarlig for Krav i regelverket Personopplysningsloven 13 stiller krav om at virksomheten etablerer tilfredsstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak. Personopplysningsforskriftens 2-4 stiller krav om av virksomheten dokumenterer tilfredsstillende informasjonssikkerhet gjennom bruk av risikovurderinger. Videre stiller personopplysningsforskriftens 2-7 krav om at informasjonssystemet konfigureres slik at tilfredsstillende informasjonssikkerhet oppnås, og at konfigurasjonen er dokumentert Funn Teknisk løsning og funn under tilsynet fremstod som like for de tre kontrollerte kommunene, og diskuteres derfor samlet. Kommunene kunne ikke fremlegge risikovurderinger med hensyn til den risiko tilgjengeliggjøring av kommunal desktop eller uttrekksløsningen til personkortet representerte for kommunenes informasjonssystem. Kommunene hadde gjort den sosialfaglige kommunale desktoppen tilgjengelig gjennom NAV-stats informasjonssystem ved bruk av en terminalserverløsning. Kommunene kunne ikke i særlig grad gjøre rede for i hvilken utstrekning desktoppen var tilgjengelig i NAVs informasjonssystem, utover ved det lokale kontoret. Systemet skiller ikke på hvilken arbeidsstasjon en medarbeider faktisk befinner seg ved, hverken på lokalt kontor eller totalt i NAVs informasjonssystem. I tillegg til NAVpåloggingen kommer det en påfølgende pålogging til kommunenes informasjonssystem og til den enkelte fagapplikasjon. 5 Datatilsynets 07/ , Endelig kontrollrapport, kapittel av 33

15 Det kunne ikke fremlegges teknisk dokumentasjon på hvorledes integrasjonen var gjennomført. Strand kommune kunne fremlegge en overordnet risikovurdering om forhold ved NAVkontoret. Den berørte ikke forholdet som her ble kontrollert. Rennesøy kommune oversendte en svært overordnet konfigurasjonsbeskrivelse før kontrollen. Beskrivelsen ga ikke forståelse av hvordan integrasjonen var gjennomført. Sandnes kommune oversendte konfigurasjonsbeskrivelse etter kontrollen Konklusjon Kommunene er behandlingsansvarlige for de personopplysninger som behandles som en følge av en kommtmal tjeneste. Kommunene kan ikke fraskrive seg dette ansvaret selv om en endring i informasjonssystemet skjer som en del av NAV-reformen. Selv om løsningene for integrasjon til en hvis grad er standardiserte, er det behov for at kommune kjenner løsningen og vurderer risikoen de representerer. Ulike kommuner vil ha ulik intern konfigurasjon, og det vil også være anledning til å endre denne konfigurasjonen for å håndtere risikoen integrasjonen representerer. For eksempel kan de innføres tiltak for å segmentere deler av informasjonssystemet som kommuniserer mot NAV, tilpasse overvåking av informasjonssystemet, eller innføre sterk autentisering for tilgang til kommunal fagapplikasjon. Det bemerkes at det ikke nødvendigvis må være kommunene som gjennomfører hele risikovurderingene, men kommunene må være kjent med resultatet, selv vurdere det som avhenger av lokale forhold, og ta selvstendig stilling til om løsningen gir akseptabel risiko Generelt Manglende risikovurderinger av endringer i informasjonssystemet som har vesentlig betydning for kommunenes informasjonssikkerhet ses som et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-4. Avviket gjaldt samtlige kommuner NAV Strand o NAV Rennesø Manglede dokumentasjon av informasjonssystemets konfigurasjon er et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens av 33

16 7.3 Konfidensialitetssikring logging i kommunal fagapplikasjon Logging i de kommunale fagapplikasjonene ble kontrollert. Logging i de statlige fagapplikasjonene, samt sentral bruk av loggene, ble gjennomgått i 2010, og det vises til endelig kontrollrapport fra kontrollene6. Lokal bruk av logger fra statlige fagapplikasjoner er omhandlet i denne rapports Krav i regelverket Personopplysningslovens 13, jf. personopplysningsforskriftens 2-8 og 2-14 stiller krav om logging med hensyn til autorisert bruk og forsøk på uautorisert bruk stiller videre krav om at sikkerhetstiltakene, her loggene, skal gjøre det mulig å avdekke eventuelt uautorisert bruk av informasjonssystemet. Logger er et sikkerhetstiltak for å oppnå tilfredsstillende informasjonssikkerhet i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-13 om integritetssikring Funn NAV Sandnes På tidspunktet for kontrollen brukte Sandnes kommune OSKAR som kommunal fagapplikasjon. Det ble imidlertid opplyst om at kommunen var i gang med prosess for anskaffelse av nytt kommunalt fagsystem. Det ble opplyst at kommunen ikke hadde etablert logging av oppslag i sitt sosialfagsystem. Under intervju med de ansatte kom det frem at de ansatte antok at deres handlinger ble logget alle fagsystemene NAV Strand På tidspunktet for kontrollen brukte Strand kommune VELFERD som kommunal fagapplikasjon. Det ble opplyst at kommunen hadde etablert logging av endringer i sitt sosialfagsystem. Utskrift fra denne loggen ble sendt Datatilsynet i forkant av kontrollen. Det var ikke etablert logg for oppslag, og man hadde ingen rutine for gjennomgang av logg. Det ble opplyst at kommunen nå vil vurdere å innføre rutine for gjetmomgang av logg, men er usikker på hensiktsmessigheten av en slik rutine NAV Rennesøy På tidspunktet for kontrollen brukte Rermesøy kommune SOCIO som kommunal fagapplikasjon. Fagapplikasjonen hadde en viss loggfunksjonalitet, men det var av loggene ikke mulig å få oversikt over oppslag i fagsystemet. Om dette skyldes manglende funksjonalitet, behov for konfigurering eller behov for bedre kjennskap til systemet lot seg ikke verifisere. 6 Datatilsynets 10/ Endelig kontrollrapport 16 av 33

17 Kommunen hadde i forbindelse med kontrollen blitt bevisst på muligheten til å bruke logger, og var i en prosess for å undersøke dette nærmere Konklusjon Kommunene hadde ikke etablert systematisk kontroll av loggene i sikkerhetsarbeidet for å avdekke uautorisert oppsalg, eller utarbeidet rutiner for slik kontroll. Dette er avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring og 2-14 om sikkerhetstiltak. Kommunene hadde ikke etablert funksjone117 logging av oppslag i sine kommunale fagapplikasjoner ved NAV-kontorene. Dette er avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-8 og 2-14 om registrering av autorisert og forsøk av på uautorisert bruk. 7 Rennesøy var det etablert en viss logging. Denne fremstod imidlertid ikke som funksjonell. 17 av 33

18 7.4 Konfidensialitetssikring uautoriserte oppslag av egne ansatte Under punktet vurderes konfidensialitetssikringen mot uautorisert oppsalg fra egne ansatte. Her er kombinasjonen av tilgangsstyring og logging sentral. I tillegg kommer den behandlingsansvarliges selvstendige plikt til å vurdere systemer og bruk av systemene med hensyn til risiko Forholdet til tidligere kontroller Tilsvarende ble kontrollert ved lokale NAV-kontor i 2007, og for de statlige fagsystemene ved kontroll med NAV-direktorat i Det ble etter 2010-kontrollene konkludert med at de statlige fagsystemene ikke hadde tilfredsstillende konfidensialitetssikring når tildelte tilganger og bruk av eventuelt tilstedeværende logger var sett i sammenheng. På tidspunktet for denne rapporten var ikke avviket lukket, og utbedring avhenger blant annet av moderniseringen av de statlige fagsystemene. Under denne kontrollen var det fokus på lokal praksis gjennom tildeling av tilganger, selvstendige vurderinger, og lokal bruk av logger Krav i regelverket Personopplysningslovens 13 stiller krav om at virksomheten etablerer tilfredsstillende informasjonssikkerhet gjennom planlagte og systematiske tiltak. Tiltakene skal sørge for informasjonssikkerhet blant annet med hensyn til konfidensialitet ved behandling av personopplysninger. Personopplysningsforskriften gir utfyllende bestemmelser om informasjonssikkerhet. Krav om tilfredsstillende konfidensialitetssikring følger av personopplysningsforskriftens 2-11, samt at personopplysningsforskriftens 2-14 stiller krav om at det etableres sikkerhetstiltak for å hindre uautorisert bruk. For å oppnå tilfredsstillende konfidensialitetssikring med hensyn til interne brukere av fagapplikasjonene, er kombinasjonen av tilgangsstyring og bruk av logger som tiltak etter 2-14 sentralt. Vurdering om hvorvidt det faktisk logges er behandlet i rapportens 7.3. Forskriftens 2-4 stiller krav om at virksomheten dokumenterer tilfredsstillende informasjonssikkerhet gjennom bruk av risikovurderinger. Forskriftens 2-7 stiller krav om organisering, herunder dokumentasjon av konfigurasjon og at bruk skal finne sted i samsvar med fastsatte rutiner. 2-8 om personell stiller krav om at medarbeidere skal være autorisert for bruk, og at bruken skal finne sted i samsvar med fastlagte rutiner Nærmere om lov ivers forventin er NAV, etter sammenslåingen av tidligere Trygdeetaten, Aetat og kommunenes sosialtjeneste, behandler omfattende mengder sensitive personopplysninger om hele landets befolkning. Datatilsynet uttrykte i høringen til NAV-loven en bekymring for at reformen ville medføre en vesentlig tilgjengeliggjøring av sensitiv informasjon om den enkelte. Datatilsynet sa følgende: 18 av 33

19 "For Datatilsynet vil det være uakseptabelt dersom en ved sammenslåingen ikke legger til grunn et prinsipp også for utviklingen av IKT-systemet, om at ingen skal ha tilgang til flere personopplysninger enn de som de trenger for å utøve sine arbeidsoppgaver forsvarlig, og at ethvert oppslag de ansatte gjør skal logges og loggene kontrolleres. "5 Tilsynets, og øvrige høringsinstansers, syn ble kommentert i odelstingsproposisjonens kapittel 9.7. Her står blant annet følgende: "Hensynet til taushetsplikt og personvern må ivaretas ved summen av de lovreglene, sikkerhetstiltak, prosess og mekanismer for styring av tilgang til informasjon i IKT-systemene og regimet for kontroll og oppfølging av dette som tilrettelegges. For å ivareta informasjonssikkerhet, herunder sikre prinsippet om at ingen skal ha tilgang til flere personopplysninger enn det de trenger for å utøve sine arbeidsoppgaver, er det viktig med et kontrollregime som følger opp informasjonssikkerheten. Både etaten og de felles lokale kontorene vil forvalte store mengder sensitive personopplysninfer. Dersom det ikke etableres et tydelig regime for informasjonssikkerhet, er dette en risiko." Lovgivers klare forutsetning om tilgangsstyring legges til grunn i forståelsen av behov for konfidensialitetssikring og sikkerhetstiltak for å oppnå slik sikring Funn - Tildelte tilganger til kommunale og statlige fagsystemer Datatilsynet ba forut for kontrollen om en oversikt over hvilke tilganger som er gitt ved de enkelte kontorene. De rapporterte tallene ble benyttet som utgangspunkt for gjennomgangen av tilgangstildelingen ved kontorene Generelt - tildelte ti1 an erm Følgende informasjon om tildelinger av tilganger ble gitt i redegjørelsene før kontrollen. Tabell 1 angir antall ansatte ved hvert av kontorene med hhv. kommunal og statlig ansettelse, og hvilke fagsystem de er gitt tilgang til. Det fremgår ikke av tabellen hvilken tilgang den ansatte har i de enkelte fagsystemene. s Ot.prp. nr Om lov om arbeids- og velferdsforvaltningen (...), s Ot.prp. nr Om lov om arbeids- og velferdsforvaltningen (...), s. 71 ' For tabellene 1 og 2 bemerkes det at mindre avvik i det totale antallet i de to tabellene kan skyldes ulikt rapporteringstidspunkt og mulig hensyn til ansatte i permisjon. Tabell 1 er basert på tall rapportert direkte fra NAV-kontorene. Tabell 2 er basert på opptelling av oversendte lister over tilganger. 19 av 33

20 ansatte ca 't () es ca c m c m 0 es bi) E.to bo 7Fd 19 4c :',J Kommunalt cl) cra cl) Fa s stem NAV Sandnes NAV Strand NAV Rennesø Totalt antall ansatte Kommunalt fagsystem Personkort Infotrygd Arena Gosys Pesys Bisys Tabell 1 - Antall ansatte med brukertilgang (uavhengig av type) i de ulike fagsystemene. Fordelt på kommunalt og statlig ansatte ved NAV-kontoret. For fagsystemene Arena og Gosys er det av oversiktene tatt ut antall ansatte med gitte tilganger i fagsystemene. Funnene fremgår av tabell 2. -,t:. -,z, 5 g b.0 cn 41) <..." 0Ct. ei) ccias = caca...' S 0 0 f.--,"- Fagsystem - NAV Sandnes NAV Strand NAV Rennesøy T e til an Arena Totalt med tilgang Admin Permanent land Permanentfylke Utvidbar land Utvidbar fylke Sensitiv Gosys Totalt med tilgang Nasjonal(permanent) Utvidbar nasjonal Utvidbar fylke Egne ansatte Sensitivn Tabell Antall ansatte med type tilgang i fagsystemene Arena og Gosys. 73 b-0 g C1, cc Cx0 7. c;qc cc "C)b1:1 c9 b <1.) c J cv,cc s E Totalt Ilansatte hvorav en i permisjon. 12 Tilgangen var gitt NAV-kontorets leder. 13 Gosys har tilgangsfunksjonen Sensitiv. Det ble opplyst ved NAV-Sandnes at tilgangen kunne tildeles, men at den ikke var funksjonelt aktiv d.v.s. at en får tilgang til alle opplysninger innefor sitt geografiske område gjennom normaltilgangen. Dette ble ikke nærmere verifisert. 20 av 33

21 I tillegg til de sentrale tilgangene angitt ovenfor har Arena mulighet for å kontorsperre opplysninger som registreres. Dette innbærer at opplysningene kun er tilgjengelige for ansatte ved kontoret opplysningene er sperret til. Dette er nærmere berørt rapportens 7.5. Av de gitte tilgangene kan følgende generelle betraktninger gjøres: Nær samtlige ansatte har tilgang til Personkortet, Arena og Gosys Praksisen med tildeling av utvidbare tilganger varierer i stor grad mellom kontorene S esielt for NAV Sandnes tildelte til an er Av de gitte tilgangene kan følgene betraktninger gjøres for NAV-Sandnes: Samtlige ansatte gis sensitiv tilgang i Arena 16 av 60 statlig ansatte, og totalt 55 av 100 ansatte har tilgang til kommunalt fagsystem Nær samtlige ansatte har tilgangen utvidbar land i Arena og Gosys 23 av 41 kommunalt ansatte har tilgang til Infotrygd Tildeling av tilganger ved NAV Sandnes bestemmes ut fra en organisasjonsplan og et rolledokument. Ved NAV Sandnes er det gitt brede tilganger til de fleste ansatte. Dette er begrunnet i tjenestelig behov. Kontoret er organisert etter en generalistmodell, slik at mange har behov for tilgang til de samme fagsystemene. Dette gjelder også utvidbare tilganger i de sentrale statlige fagsystemene. NAV Sandnes kunne ikke fremlegge dokumenterte vurderinger eller dokumenterte rutiner for hva den enkelte medarbeider skal gis tilgang til. Det kunne heller ikke dokumenteres at det gjøres noen form for vurdering av nødvendigheten av den enkeltes gitte tilgang. Kontorsperrefunksjonen i Arena blir i liten grad brukt ved NAV Sandnes, og det var ikke rutiner for bruk av denne tilgangsstyringen. Dette til tross for at Arena blir benyttet av kontoret også til oppfølging av oppgaver som anses som rent kommunale S esielt for NAV Strand Av de gitte tilgangene kan følgene betraktninger gjøres for NAV-Strand: Samtlige ansatte gis sensitiv tilgang i Arena Nær samtlige ansatte gis tilgang til kommunalt fagsystem 14 av 18 kommunalt ansatte har tilgang til Infotrygd 14 De ulike geografiske tilgangene overlapper hverandre, og fiere ansatte hadde slike overlappende tilganger, for eksempel kombinasjonen av utvidbar land og utvidbar fylke. 15 Hvor "-" er anfort går det ikke frem av oversendt dokumentasjon om slike tilganger er gitt. 21 av 33

22 Kontoret har en moderat tilnærming med tildeling av geografisk utvidbare tilganger i Arena og Gosys, herunder at - 12 av 31 har utvidbar land i Arena, og - 7 av 31 har utvidbar land i Gosys Ved NAV Strand er det gitt brede tilganger til de fleste ansatte. Dette er begrunnet i tjenestelig behov. Kontoret er organisert etter en generalistmodell, slik at mange har behov for tilgang til de samme fagsystemene. Kontoret har operert med permanente nasjonale tilganger i de sentrale statlige systemene, men har etter en ny vurdering gått over til utvidbare nasjonale tilganger. Ledelsen føler seg trygge på at det ikke blir gjort oppsiag uten tjenstlig behov når det må begrunnes hvorfor man benytter den utvidbare tilgangen. Alle ansatte har sensitiv tiigang i Arena. Alle som har oppgaver i fronttjenesten har utvidbar nasjonal tilgang. Dette er begrunnet med at det kan komme innom brukere som tilhører ethvert NAV kontor i landet. Alle som arbeider med oppfølging har utvidbar regiona1tilgang. Dette er begrunnet med at brukere er mobile, og at de har krav på oppfølging selv om de er ute av sin hjemkommune. Enkelte ansatte opplyser at de bruker kontorsperrefunksjonen i Arena for kommunale saker, men det finnes ikke skriftlige rutiner for bruk av denne funksjonen S esielt for NAV Rennes Av de gitte tilgangene kan følgene betraktninger gjøres for NAV-Rennesøy: Samtlige ansatte gis sensitiv tilgang i Arena Samtlige ansatte har tilgang til kommunalt fagsystem Samtlige ansatte har tilgang til Infotrygd Kontoret har en restriktiv tilnærming med tildeling av geograflsk utvidbare tilganger i Arena og Gosys, herunder at - 3 av 10 er gitt land-tilgang i Arena (1 permanent og 2 utvidbar) - Ingen er gitt nasjonal tilgang i Gosys, og 3 er gitt utvidbar fylke Ved NAV Rennesøy er det gitt tilgang til alle fagsystemer for de fleste ansatte. Dette er begrunnet i tjenestelig behov. Kontoret er organisert etter en generalistmodell, slik at mange har behov for tilganger. Kontoret har imidlertid kun en permanent nasjonal tilgang i de sentrale statlige systemene, og to utvidbare nasjonale tilganger. Datatilsynet bemerker at man ved NAV Rermesøy, som er det minste av de tre kontrollerte kontorene, påviste en klar restriktiv holdning til det å vite for mye om sine sambygdinger. De ansatte mente selv dette var en naturlig konsekvens av at de var en liten kommune hvor konsekvensene av et dårlig personvern blir veldig tydelig. 22 av 33

23 7.4.5 Funn Dokumenterte vurderinger og rutiner for tildeling av tilganger Sentrale rutiner Sentrale rutiner for tildeling av tilganger ble behandlet i 2010-kontrollen. Det gikk her frem at det ikke settes klare rammer for hvilken tilgang som kan tildeles lokalt utover at denne skal være innenfor rammene av "tjenestelig behov" Re ionale rutiner Det ble fremlagt en rutine av 22. august 2011 fra NAV Rogaland "Roller og tilganger til fagsystemene". Rutinen setter administrative krav til tildeling og oppfølging av tilganger. Det understrekes at prisnippene "Need to know" og "Need to protect" skal være førende. Rutinen setter ikke nærmere krav til hvilke tilganger som kan gis og om eventuelt en skal dokumentere vurderinger som ligger til grunn for tildelingen Lokale rutiner Ingen av NAV-kontorene eller kommunene hadde egne utarbeidede rutiner for tildeling av tilgang som berørte hvilke typer tilgang de ansatte skal ha. Rutinene som ble oversendt var av administrativ art med regulering av hvem som tildeler tilgang og i hvilke tilfeller. Det begrunnes ikke i det enkelte tilfelle hvorfor ansatte gis utvidede tilganger. Og det var ikke foretatt generelle vurderinger av hvilke grupper ansatte som skulle gis de ulike tilgangene Lokale risikovurderin er Sandnes og Rennesøy kommuner kunne ikke fremlegge risikovurderinger om hvorvidt opplysningene i kommunal fagapplikasjon er tilstrekkelig beskyttet med hensyn til konfidensialitet, og da konkret med hensyn til uautoriserte oppslag gjennomført av egne ansatte. Strand kommune oversendte etter den stedlige kontrollen en risikovurdering som omfattet risikoen for uautoriserte oppslag gjennomført av egne ansatte. Risikovurderingen fremstod som svært overordnet. Det ble heller ikke fremlagt andre relevante vurderinger av om praksis for tildeling av tilganger er akseptabel, for eksempel vurdering av ivaretakelse av taushetspliktsregler Funn Bruk av logger i sikkerhetsarbeidet Det vises til rapportens 7.3 om funksjonell logging i de kommunale fagapplikasjonene. Logger fra fagsystem ble ikke benyttet i det lokale sikkerhetsarbeidet ved NAV-kontorene eller kommunene. Dette gjelder både kommunale og statlige fagapplikasjoner. Sentral bruk av logger fra statlige fagapplikasjoner ble behandlet i 2010-kontrollen. 16 Vurderinger av taushetsplikt etter annet regelverk er utenfor Datatilsynets kompetanseområde. Dersom slike vurderinger foreligger vil de imidlertid være relevant med hensyn til virksomhetens vurdering av beskyttelsesbehov og beskyttelsestiltak etter personopplysningsloven 23 av 33

24 7.4.7 Konklusjon Generelt Etter kontrollen med NAV-kontorene kan følgende oppsummeres: Det er fortsatt relativt vide tilganger for NAV-ansatte både i kommunale og statlige fagsystemer. Det er ikke lokal bruk av logger fra statlige fagsystem, og fra kontrollen i 2010 er det kjent at loggingen er mangelfull for enkelte fagapplikasjoner. Kommunale fagsystem har ikke tilstrekkelig loggfunksjonalitet. Det er ikke innført kompenserende tiltak i form av tilstrekkelig logging, kontroll av logger og tilgangsstyring. Det er varierende praksis for tildelinger av tilganger mellom de ulike NAVkontorene. Datatilsynet er av den oppfatning at det ikke er innført de tiltak som er nødvendige for å sikre at deling av informasjon ivaretar grunnleggende personvemhensyn. Innføring av sikkerhetstiltak, slik forutsatt av ovenfor nevnte odelstingsproposisjon, er fremdeles ikke etablert. Ved Datatilsynets kontroll av NAV-kontorer i 2007 ble det i kontrollrapporten peket på to kritiske tiltak som kunne avhjelpe situasjonen. Dette var følgende: - Etablering av en systematisk tilgangsstyring som begrenser tilgangen til kun å gjelde den som faktisk deltar i tjenesteytingen ovenfor den konkrete tjenestemottakeren. Etablering av logging og oppfølging av loggene. Dette er fortsatt gjeldende anbefalinger. Datatilsynet betrakter praksisen ved NAV-kontorene for fortsatt å være i konflikt med personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 om konfidensialitetssikring. Bakgrunnen er kombinasjonen av vide tilganger og fravær av funksjonell loggkontroll. Avviket gjelder både NAV-direktorat og kommunene som behandlingsansvarlige. Tilsvarende avvik er konstatert for NAV-direktorat i Manglende risikovurderinger om hvorvidt opplysningene i kommunal fagapplikasjon er tilstrekkelig beskyttet med hensyn til konfidensialitet, og da konkret med hensyn til uautoriserte oppslag gjennomført av egen ansatte, er et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-4 og 2-11om risikovurderinger og konfidensialitetssikring. Avviket gjelder kommunene Sandnes og Strand, samt direktoratet som behandlingsansvarlige. Det konstateres ikke avvik for Strand kommune da kommunen oversendte en overordnet risikovurdering etter kontrollen. Utilstrekkelige rutiner for tildeling av tilganger er et avvik fra personopplysningslovens 13, jf. personopplysningsforskriftens 2-7 og 2-8 om organisering og personell. Avviket gjelder kommunene som behandlingsansvarlige. 24 av 33

25 Det bemerkes at Datatilsynet ikke er negativ til at samtlige ansatte gis tilgang til enkelte fagapplikasjoner som forutsettes brukt av enhver ansatt. Dette gjelder applikasjoner som Arena og Gosys. Problemet er at det gis vide tilganger i disse fagapplikasjonene, for eksempel nasjonale tilganger, og at bruken ikke følges i tilstrekkelig grad S esielt for NAV Sandnes Datatilsynet finner praksisen med tiideling av nasjonalt utvidbar tilgang til nær samtlige ansatte i Arena og Gosys for å være svært vid. I tillegg gis det sensitiv tilgang til samtlige Arena og halvparten i Gosys. At den liberale praksisen suppleres med fravær av dokumenterte vurderinger fremstår som særlig uheldig. Uavhengig av fremtidig bedret loggkontroll finner Datatilsynet at praksisen med at samtlige gis tilgang til nær alle opplysninger i fagapplikasjonene Arena og Gosys, for å være et avvik fra kravet om tilfredsstillende konfidensialitetssikring etter personopplysningslovens 13, jf. personopplysningsforskriftens Avviket gjelder direktoratet som ansvarlig for fagsystemene. Det bemerkes positivt at det er vist moderasjon ved tideling av tilganger i kommunal fagapplikasjon og Infotrygd S esielt for NAV Strand Det bemerkes positivt at det er vist moderasjon ved tildeling av nasjonalt utvidbare tilganger statlige fagappiikasjoner. Det bemerkes også at en har endret tidligere praksis med bruk av permanente nasjonale tilganger, noe som synliggjør at det er gjort vurderinger ved kontoret. Nær samtlige ansatte er gitt tilgang til kommunal fagapplikasjon og Infotrygd. Datatilsynet legger til grunn at tilgangene er nødvendige ved at de ansatte som er gitt tilgang faktisk har arbeidsoppgaver som forutsetter bruk av fagsystemene. Det konstateres ikke avvik for dette S esielt for NAV Rennes Det bemerkes positivt at det er vist moderasjon ved tildeling av nasjonalt utvidbare tilganger i statlige fagapplikasjoner. Rennesøy er kontoret med færrest medarbeidere, og var likevel det kontoret hvor det var utvist størst forsiktighet ved tildeling av geografisk utvidbare tilganger. Majoriteten av medarbeidere er gitt tilgang til samtiige fagsystem, med unntak av Bisys. Datatilsynet legger NAV-kontorets redegjørelse til grunn, og sett i sammenheng med kontorets størrelse har tilsynet ikke negative merknader til de gitte tilganger. 25 av 33