IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

Størrelse: px
Begynne med side:

Download "IT-sikkerhet. - Sauherad kommune - Forvaltningsrevisjonsrapport nr: 722 008. Telemark kommunerevisjon IKS"

Transkript

1 IT-sikkerhet - Sauherad kommune - Forvaltningsrevisjonsrapport nr: Telemark kommunerevisjon IKS

2 Innhold Sammendrag...iv 1 Innledning Bakgrunn Formål og problemstillinger Avgrensing Metode Valg av metode Kvalitetssikring Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi? Revisjonskriterer Risikovurdering Sikkerhetsrevisjon og strategidokument Funn og fakta Vurderinger Konklusjon Anbefaling Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem? Revisjonskriterium Funn og fakta Revisors vurderinger Konklusjon Anbefaling Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? Revisjonskriterium Organisering Sikkerhetstiltak Funn og fakta Organisering Tilgangskontroll Fysisk sikring Sikkerhetskopiering Konfigurasjonskontroll, vedlikehold og nedetid Avvikshåndtering Leverandører/tredjeparter Revisors vurderinger Organisering Sikkerhetstiltak Konklusjon...16 Telemark kommunerevisjon IKS ii

3 5.5 Anbefaling...16 Litteratur og kildereferanser...17 Vedlegg...19 Vedlegg 1: Begrep som benyttes i rapporten...20 Vedlegg 2: Eksempel på oppbygging av skjema for risikovurdering...21 Vedlegg 3: Standard intervjuguide (ble tilpasset den vi skulle intervjue)...22 Telemark kommunerevisjon IKS iii

4 Sammendrag Rapporten IT-sikkerhet er gjennomført som forvaltningsrevisjon og er en del av vedtatt plan for forvaltningsrevisjon Bakgrunnen er at det i virksomhetsanalysen står: Sauherad har felles IT-funksjon gjennom Midt-Telemarksamarbeidet v/ Midt-Telemark IKT. Det framgår av årsmeldingen for Midt-Telemarksamarbeidet for 2007 at beredskap og sikkerhet ikke er på plass. Kommunen opplyser at plan for sikkerhet er under utarbeidelse. Manglende IT-sikkerhet kan innebære en vesentlig risiko. Formålet med prosjektet er å undersøke om IT-sikkerheten er tilstrekkelig god med hensyn til driftssikkerhet, beskyttelse av materiell, informasjonssikkerhet og personvern. Prosjektet skal bidra til bedre IT-sikkerhet i kommunen og avdekke eventuelle mangler Med bakgrunnen i formålet utformet vi tre problemstillinger. Problemstillingene er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er en standard fastsatt av Norges Standardiseringsforbund. Revisor har i all hovedsak hentet inn opplysninger gjennom intervju og dokumentanalyse. Konklusjoner av undersøkelsen Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er gjennomført risikovurderinger for noen av fagapplikasjonene kommunen bruker, men disse vurderingene er ikke alltid dokumentert. Administrasjonen opplyser at de skal utarbeide et overordnet dokument der IT-sikkerhet er inkludert, men dette er foreløpig ikke på plass. Med bakgrunn i informasjonen vi har mottatt, kan vi si at kommunen overholder kontraktsmessige krav. Kommunen burde likevel vurdere å utarbeide en fullstendig oversikt over lisensavtaler og brukere, noe som også kan lette arbeidet med administrasjonen av avtalene. Kommunen har ikke etablert rutiner som ivaretar meldeplikt og konsesjonsplikt overfor Datatilsynet. Vi kan ikke slå fast om meldeplikten til Datatilsynet faktisk er overholdt, da det er uklart hvem som har ansvar, og melding/konsesjon ikke er dokumentert. Manglende dokumentasjon er et brudd på plikten til internkontroll etter personopplysningsloven og personopplysningsforskriften. De ansatte har en bevisst holdning til behandling av informasjon, spesielt sensitiv informasjon. Rutinene for tilgangskontroll, sikkerhetskopiering og konfigurasjonskontroll er jevnt over god i Sauherad kommune, men det mangler en del dokumentasjon. Den fysiske sikringen av data i kommunen som helhet er noe svak, men spesielt der hvor de behandler sensitive opplysninger er det etablert gode fysiske sikringstiltak. Avviksbehandling varierer en del i kommunen og det bør vurderes om dette også nedfelles i rutiner. Telemark kommunerevisjon IKS iv

5 Vi kan gjennom våre kontroller konkludere med at IT-sikkerheten jevnt over er god mot leverandørene (av IT-systemer/applikasjoner) til Sauherad kommune. Så langt revisor har fått kjennskap til, har de bare de tilgangene de trenger. Vi har følgende anbefalinger til kommunen: Kommunen bør utarbeide en risikovurdering for de enkelte fagapplikasjonene som kommunen benytter i sin saksbehandling. I dokumentasjonen bør det komme fram et resultat av vurderingen som samsvarer med gjeldende krav/regler og hva som er akseptabel risiko. Kommunen bør samtidig utarbeide en rutine for når en risikovurdering skal gjennomføres. Kommunen bør utarbeide et overordna dokument som inneholder sikkerhetsmål, strategi og organisering. Dokumentet bør også inneholde beredskapsplanar som dekker katastrofesituasjoner. Kommunen bør utarbeide en fullstendig oversikt over fagsystemene som viser hvilken lovhjemmel for saksbehandling den enkelte enheten benytter, om det trengs konsesjon eller melding, type lisens og antall brukere. Kommunen bør avklare om meldeplikten til datatilsynet er overholdt. Kommunen bør etablere internkontroll for å sikre at meldeplikten og andre plikter etter personopplysningsloven blir overholdt. Kommunen bør utvikle skriftlige rutiner for IT-behandling i de virksomhetene hvor dette ikke finnes i kommunen i dag. Tilganger til fagapplikasjoner bør slettes umiddelbart når en ansatt slutter og tilgangen til ansatte ved langvarig sykdom eller permisjoner bør settes som passiv. Ansvar og myndighet for oppgaver i kommunen bør tydelig plasseres. Prosesser ved omlegging/valg av nye applikasjoner/system bør være tilrettelagt for medvirkning fra kommunens ansatte. Skien, 8. juni 2009 Telemark kommunerevisjon IKS Alf Olav Uldal forvaltningsrevisor Anne Sæterdal forvaltningsrevisor Telemark kommunerevisjon IKS v

6 1 Innledning Rapporten IT-sikkerhet er gjennomført som forvaltningsrevisjon. Hjemmel for forvaltningsrevisjon følger av kommuneloven 77 nr. 4, med nærmere vilkår i forskrift om kontrollutvalg kap. 5 og forskrift om revisjon kap Dette prosjektet er gjennomført etter vedtatt plan for forvaltningsrevisjon Rapporten blir oversendt kontrollutvalget som videre skal rapportere til kommunestyret om hvilke forvaltningsrevisjoner som er gjennomført og om resultatene av disse, jf. forskrift om kontrollutvalg 11, og forskrift om revisjon Bakgrunn Prosjektet står som nummer to i virksomhetsanalyse og plan for forvaltningsrevisjon i Sauherad kommune Bakgrunnen er at det i virksomhetsanalysen står: Sauherad har felles IT-funksjon gjennom Midt-Telemarksamarbeidet v/ Midt-Telemark IKT. Det framgår av årsmeldingen for Midt-Telemarksamarbeidet for 2007 at beredskap og sikkerhet ikke er på plass. Kommunen opplyser at plan for sikkerhet er under utarbeidelse. Manglende IT-sikkerhet kan innebære en vesentlig risiko. 1.2 Formål og problemstillinger Formålet med prosjektet er å undersøke om IT-sikkerheten er tilstrekkelig god med hensyn til driftssikkerhet, beskyttelse av materiell, informasjonssikkerhet og personvern. Prosjektet skal bidra til bedre IT-sikkerhet i kommunen og avdekke eventuelle mangler. Vi har med bakgrunn i formålet utformet følgende problemstillinger: 1. Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi? 2. Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem? 3. Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? Problemstillingene er basert på NS-ISO/IEC (Informasjonsteknologi: administrasjon av informasjonssikkerhet) og er en standard fastsatt av Norges Standardiseringsforbund. 1.3 Avgrensing Prosjektet er tidsmessig avgrenset til situasjonen på undersøkelsestidspunktet (januar - mars 2009). Vi har ikke evaluert de forskjellige tekniske løsningene, men har valgt å undersøke hvordan rutiner og styrende dokumenter for IT fungerer. 1 Jf. forskrifter av 15. juni Telemark kommunerevisjon IKS 1

7 2 Metode 2.1 Valg av metode Før arbeidet startet, hadde vi et oppstartsmøte med rådmann, leder for Midt-Telemark IKT, stabsleder og prosjektleder interkommunale tjenester. Formålet var å innhente bakgrunnsinformasjon og faktaopplysninger, og orientere nærmere om gjennomføringen av prosjektet. Revisor har i all hovedsak hentet inn opplysninger gjennom intervju. Vi har hatt intervju med ansatte i Midt-Telemark IKT, som er de som drifter IT-funksjonen i Sauherad. Vi har også intervjuet systemansvarlige for IT-systemene i kommunen. Vi fokuserte på de systemene hvor det behandles og lagres sensitive opplysninger, fordi slike opplysninger vil utgjøre størst risiko om de kommer på avveie. Vi har derfor snakket med de som er systemansvarlige for WinMed Helse, Acos Barnevern, PPI, Acos Sosial og Profil. Vi har også snakket med systemansvarlige for kommunens arkiv-, sakbehandlings- og publiseringssystem (Acos Websak og Acos InfoLink) og økonomisystemene EDB økonomi og Arena budsjettsystemer. På forhånd utarbeidet vi en intervjuguide 2 for å standardisere spørsmålene mest mulig, se vedlegg 3. Intervjuene ble likevel gjennomført slik at hver enkelt intervjuperson kunne komme med tilleggsopplysninger. Styrken ved denne intervjuformen er at en holder seg til tema og får en viss struktur i intervjuet, samtidig som det åpner for individuelle forskjeller. Vi har hatt en generell gjennomgang av aktuelle dokumenter i saken for å innhente nødvendige opplysninger. Dette gjelder interne dokumenter som for eksempel samarbeidsavtaler og relevant regelverk. Vi har inspisert sentralt serverrom i Midt-Telemark IKTs lokaler og lokalene hvor de vi intervjuet i Sauherad kommunens arbeider. 2.2 Kvalitetssikring Utkast av rapporten er sendt til rådmannen i Sauherad kommune til uttalelse. Per telefon 8. juni 2009 fikk revisjonen bekreftet av Svein Taranrød at rapporten var lest og at innholdet var akseptert. Det ble også sagt at rapporten var grundig og god, og den dannet et godt grunnlag for å jobbe videre med de punktene som revisjonsrapporten pekte på. 2 Huskeliste over tema som skal tas opp i et intervju Telemark kommunerevisjon IKS 2

8 3 Er sikkerhetsrisikoen vurdert ved en systematisk gjennomgang for å identifisere trusler og er det etablert en sikkerhetsstrategi? 3.1 Revisjonskriterer Risikovurdering Risikovurdering er utgangspunktet for ethvert arbeid med å sikre sikkerheten. Det er en forutsetning for å avdekke sårbare punkt og sette i verk sikringstiltak. Formålet med risikovurdering er å undersøke hvorvidt den risiko som avdekkes er innenfor de akseptkriterier virksomheten har fastlagt. Risikovurderingen danner grunnlag for iverksetting av nødvendige sikkerhetstiltak, og inngår i underlaget for ledelsens gjennomgang av informasjonssystemet og informasjonssikkerheten. 4 Noen opplysninger i datasystemet krever særskilte sikringstiltak, som for eksempel personopplysninger. I personopplysningsloven 5 13, 1.ledd står det: Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. I personopplysningsloven 2-4, 2. og 5. ledd: Den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal dokumenteres. Personopplysingsloven inneholder regler om informasjonssikring og internkontroll. Ledelsen er ansvarlig for å etterkomme sikkerhetskravene. Internkontrollbestemmelsen i 14 innebærer en plikt for den behandlingsansvarlige til å vurdere om det er behov for iverksette tiltak for å oppfylle de krav til behandlingen av personopplysninger som er fastsatt i eller i medhold av lov. Tiltakene skal være planlagte, dvs. de må foreligge på forhånd, primært før behandlingen starter. Tiltakene skal videre være systematiske, noe som innebærer at de skal være resultat av en helhetlig tilnærming og ikke ha karakter av å være tilfeldige. Tiltakene skal ikke minst være dokumenterte, dvs. de må foreligge i en form som gjør det mulig å tilegne seg kunnskap om dem (skrift, tegning, bilder m.v.). 6 Det samme gjelder i henhold til helseregisterloven. 7 Personopplysningsforskriftens kapittel 3 beskriver nærmere hva internkontrollen skal omfatte. I faktaark 7 8 heter det; Virksomhetens ledelse er ansvarlig for å gjennomføre risikovurdering av behandling av helse- og personopplysninger. Risikovurdering skal gjennomføres før behandling av helse- og personopplysninger startes, og ved endringer av behandlinger som kan påvirke sikkerheten. I dette faktaarket finner vi blant annet anbefalinger om hvordan 3 Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som foretas, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere avvik eller svakheter. 4 Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet 5 Lov nr. 31 om behandling av personopplysninger 6 Schartum, D.W Lov om behandling av personopplysninger, Lov og rett, s Lov nr 24 om helseregistre og behandling av helseopplysninger, kapittel 3. 8 Sosial- og helsedirektoratet, Norm for informasjonssikkerhet i helsesektoren, Sosial- og helsedirektoratet Telemark kommunerevisjon IKS 3

9 risikovurdering av personopplysninger bør gjennomføres. Se vedlegg 2 for eksempel på skjema for risikovurdering. Risiko kan måles på to måter: hvor sannsynlig det er at noe skjer og hva slags konsekvenser denne hendelsen kan få. En risikovurdering skal resultere i 9 : - oversikt over identifiserte trusler - vurdering av hvor sannsynlig det er at en uønsket hendelse skal skje - vurdering av konsekvenser av en uønsket hendelse - vurdering av hva slags effekt sikkerhetstiltakene vil ha opp mot risiko - vurdering av hva slags sikkerhetstiltak kommunen trenger for det enkelte informasjonssystem En risikovurdering skal være et styringsredskap for den som har ansvaret for informasjonssikkerheten. Gjennom arbeidet med risikovurdering bør kommunen dokumentere hva slags sikkerhetstiltak som er gjennomført og hva slags sikkerhetstiltak som bør gjennomføres. Det er virksomhetens ledelse som har ansvaret for utarbeidelse av en risikovurdering Sikkerhetsrevisjon og strategidokument I personopplysningsforskriften 2-5, 1. og 2.ledd står det: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering, sikkerhetstiltak og bruk av kommunikasjonspartner og leverandører. Og i 5.ledd: Resultatet av sikkerhetsrevisjon skal dokumenteres. Ledelsen har ansvaret for at det gjennomføres sikkerhetsrevisjon hvert år. Formålet med sikkerhetsrevisjon er å sikre at vedtatte sikkerhetsmål, -strategier og organisering blir fulgt. Resultatet av revisjonen danner grunnlaget for eventuelle endringer. Valg og prioriteringer i sikkerhetsarbeidet skal komme fram i et strategidokument. Kravet til kommunen om utarbeidelse av skriftlige strategidokument finner vi i personopplysningsforskriften , 2. og 3.ledd hvor det står: Formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi, skal beskrives i sikkerhetsmål. Valg og prioriteringer i sikkerhetsarbeidet skal beskrives i en sikkerhetsstrategi. Sikkerhetsmålene skal blant annet vise overordnede krav til konfidensialitet, integritet og tilgjengelighet for personopplysninger. Sikkerhetsmålene skal ta utgangspunkt i lovpålagte krav til informasjonssikkerhet. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Kommunen skal dokumentere at det er utført en systematisk risikovurdering. Risikovurderingen bør beskrive risiko som blir avdekket og sammenlikner dette med det som er definert som akseptabelt risikonivå. Restrisiko bør håndteres ved hjelp av sikkerhetstiltak, enten for å redusere konsekvensene eller sannsynligheten for uønskede hendelser. Kommunen skal ha utarbeidet et overordnet dokument for sin sikkerhetsstrategi, med bakgrunn i disse vurderingene. 9 Fra Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, side Forskrift: nr om behandling av personopplysninger Telemark kommunerevisjon IKS 4

10 3.2 Funn og fakta Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er ifølge rådmannen gjennomført risikovurderinger (ROS-analyse) ved legekontorene. Vurdering av risiko er også gjennomført for fagsystemet Profil som brukes innen pleie og omsorg, men vurderingene er ikke dokumentert skriftlig. Sauherad kommune har ikke utarbeidet et overordnet (strategi-)dokument der IT-sikkerhet er inkludert. I oppstartsmøtet ble det presisert fra administrasjonens side at datasikkerheten er fysisk på plass, men at en mangler en helhetlig strategi og dokumentasjon. Ifølge rådmannen og Midt-Telemark IKT er et slikt dokument under utarbeidelse. 3.3 Vurderinger Begrepet IT-sikkerhet bygger på disse tre basisegenskapene: - Integritet at systemet er sikret mot manipulering med systemets funksjon og informasjon. - Tilgjengelighet at systemet er sikret mot avbrudd i den forventede funksjonen og at systemet har tilgang til nødvendig datainnhold. - Konfidensialitet at systemets funksjon og datainnhold er sikret mot innsyn. Tilfeldig svikt eller et tilsiktet angrep mot informasjonen innen en infrastruktur, vil bestå av et sett med virkemidler rettet mot en eller flere av disse egenskapene. 11 Hvilke trusler kan en kommune bli utsatt for? Trusselbildet kan være omfattende med tanke på angrep og andre uønskede hendelser. Angrep via internett er lett å se for seg, og ofte er disse angrepene ikke rettet mot noen spesielle mål. Det gjelder eksempelvis virus, ormer, spionprogram og phishing. 12 Disse søker automatisk etter system som er dårlig sikret. Det er derfor ingen grunn til å tro at en mindre kommune ikke kan blir rammet av et slikt angrep. Andre trusler som tyveri, brann og vannlekkasjer kan føre til både driftsavbrudd og at informasjon kommer på avveie. Hvem kan være interessert i den informasjonen som ligger i systemet? Hvilke tilfeldige svikt kan vi sikre oss mot og hvor lenge kan vi tåle at et avbrudd varer? I en vurdering av risiko bør kommunen skildre de uønskede hendelsene som kan skje og hvor sannsynlig det er at det skjer. Tekniske løsninger alene er ikke alltid godt nok for å sikre seg mot uønskede hendelser. Kanskje må en eller annen form for overvåking til, slik som gjennomgang av sikkerhetslogger. En vurdering av hvor sannsynlig det er at dette kan skje henger sammen med nødvendige sikkerhetstiltak og eventuell beredskapsplan. Dette bør være beskrevet i et dokument. Det kan også være aktuelt å utarbeide en beredskapsplan for å klargjøre hva som må til for å gjenopprette drift av nettverk og hvilke fagsystem som skal prioriteres først. I følge personopplysningsforskriften plikter kommunen å ha en sikkerhetsstrategi. Sikkerhetsstrategien gir premissene for hva som er akseptabel risiko i kommunen. Hva som er akseptabel risiko og om de valgte sikkerhetstiltakene gir tilfredsstillende sikkerhet skal komme fram gjennom risikovurderingene, jf. punkt 3.1. Sikkerhetsstrategien er et viktig 11 Stortingsmelding nr. 17 ( ) Et informasjonssamfunn for alle, Stortinget, side Se vedlegg 1 for forklaring av begrep. Telemark kommunerevisjon IKS 5

11 dokument som bør behandles av kommunens øverste administrative ledelse og vedtas av kommunestyret. Innen IT- sektoren vil det være en stadig utvikling med nye utfordringer som bør inkorporeres i dokumentet. Det er derfor viktig at strategidokumentet revideres jevnlig og oppdateres på områder som ikke fungerer optimalt. Formålet med beredskapsplanlegging er å sikre nødvendig behandling av opplysninger ved avbrudd i normal drift. Det er viktig for kommunen å ha en plan som også omfatter ITspørsmål om en katastrofesituasjon skulle oppstå, slik at en kan få systemet raskere i gang i etterkant av et eventuelt avbrudd i normal drift. 3.4 Konklusjon Sauherad kommune har ikke utarbeidet et eget dokument for vurdering av risiko og vurdert hva som er akseptabel risiko for de forskjellige fagapplikasjonene. Kommunen har heller ikke utarbeidet beredskapsplanar der IT-sikkerhet er integrert. Det er gjennomført risikovurderinger for noen av fagapplikasjonene kommunen bruker, men disse vurderingene er ikke alltid dokumentert. Administrasjonen opplyser at de skal utarbeide et overordnet dokument der IT-sikkerhet er inkludert, men dette er foreløpig ikke på plass. 3.5 Anbefaling Kommunen bør utarbeide en risikovurdering for de enkelte fagapplikasjonene som kommunen benytter i sin saksbehandling. I dokumentasjonen bør det komme fram et resultat av vurderingen som samsvarer med gjeldende krav/regler og hva som er akseptabel risiko. Kommunen bør samtidig utarbeide en rutine for når en risikovurdering skal gjennomføres. Kommunen bør utarbeide et overordna dokument som inneholder sikkerhetsmål, strategi og organisering. Dokumentet bør også inneholde beredskapsplanar som dekker katastrofesituasjoner. Telemark kommunerevisjon IKS 6

12 4 Er alle relevante lover og kontraktsmessige krav tydelig definert og dokumentert for hvert enkelt informasjonssystem? 4.1 Revisjonskriterium Hvilke lover som er relevante er avhengig av hva slags informasjon som skal behandles av det aktuelle informasjonssystemet. Personopplysninger skal behandles i samsvar med personopplysningsloven og evt. Helseregisterloven. I forskrift om behandling av personopplysninger 2-4, 1. ledd, 1.setning står det: Det skal føres oversikt over hva slags personopplysninger som behandles. Om kommunen trenger konsesjon på forskjellige elektroniske personopplysningsregister må vurderes i hvert enkelt tilfelle. Noen elektroniske register kan opprettes med hjemmel i lov, for eksempel sosialtjenesteloven og kommunehelsetjenesteloven. Kommunen har i alle tilfeller meldeplikt til Datatilsynet når kommunen oppretter et elektronisk register med hjemmel i lov. Etter forskrift om behandling av personopplysninger 3-1, 3.ledd bokstav f, skal kommunen ha rutiner for oppfyllelse av sine plikter i forbindelse med personopplysningslovens regler om melde- og konsesjonsplikt. Etter 3-1 andre ledd plikter kommunen å ha tilstrekkelig og oppdatert dokumentasjon for gjennomføring av slike rutiner, samt ha denne dokumentasjonen tilgjengelig for de den måtte angå. Kontraktsmessige krav er blant annet krav om opphavsrett og grense for kopiering av proprietært 13 materiell. Vanligvis blir proprietære programvareprodukter 14 levert med en lisensavtale. Kontraktsmessige krav kan også være krav i forbindelse med avtalen kommunen har med sine underleverandører, eksempelvis om leverandørens taushetsplikt. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Kommunen skal ha dokumentasjon som viser en oversikt over hva slags opplysninger som blir behandlet i de forskjellige datasystemene og hvilke lover som er knyttet til opplysningene. Kommunen skal ha dokumenterte rutiner som sikrer at det søkes konsesjon eller sendes melding til Datatilsynet for behandling av de opplysningene som kan finnes i datasystemet. Kommunen bør ha dokumentasjon på at kommunens datasystem/programvare er i samsvar med aktuell lisensavtale, konsesjonsplikt eller meldeplikt. 4.2 Funn og fakta Kommunen har flere applikasjoner 15 som de benytter i sin saksbehandling som inneholder opplysninger som ikke kan gjøres offentlig. I noen applikasjoner ligger det også sensitive personopplysninger. 16 På vår forespørsel ble det laget en oversikt over hvilke fagsystem kommunen benytter og hvem som har ansvaret for dem. 13 Et format som ikke er fritt, men som er eid av et selskap ved at selskapet eier spesifikasjonen av formatet og kontrollerer den videre utviklingen av det, kalles proprietært. 14 Systemprogramvare omfatter blant annet operativsystemet, drivere, og annet som er nødvendig for å kunne kjøre applikasjoner. 15 Applikasjon er en programvare som benytter seg av datamaskins ressurser til en oppgave som brukeren ønsker utført. 16 Se vedlegg 1 for definisjon på sensitive opplysninger. Telemark kommunerevisjon IKS 7

13 Applikasjonen Helsenettet blir benyttet av legekontoret. Applikasjonen på helsestasjonen heter Winmed helse. Profil er en applikasjon som blir benyttet av pleie og omsorg, sosialtjenesten (NAV) benytter Acos Sosial, PP-tjenesten benytter PPI og barnevernet benytter Acos Barnevern. Alle disse applikasjonene er lagt i en sikker sone og kan inneholde sensitive personopplysninger. Andre applikasjoner som brukes er Acos Websak, EDB økonomi og lønnssystemet. Disse applikasjonene ligger i en åpen sone og kan inneholde personopplysninger, men bør ikke inneholde sensitive personopplysninger. Vi har ikke sett dokumentasjon på at kommunen har rutiner for eller faktisk har oppfylt sine plikter om meldeplikt og konsesjonsplikt for registrering av personopplysninger til Datatilsynet. Det er også uklart hvem er gitt dette ansvaret i kommunen. Systemansvarlige vi har snakket med forutsetter at leverandøren eller Midt-Telemark IKT sørger for at kommunen oppfyller dette kravet. Det er ikke utarbeidet en samlet oversikt over applikasjoner med lisenser, antall brukere og om lisensen gjelder absolutte brukere eller samtidige brukere. I følge Midt-Telemark IKT er applikasjonene som kommunen benytter oftest regulert etter lisensavtaler og kommunen kjøper antall brukeridenter etter behov. De ansatte vi har snakket med har en bevisst holdning til skjerming av informasjon, både internt mellom ansatte og ut av kommunen. Dette gjelder spesielt de som behandler sensitiv informasjon i sitt arbeid i kommunen. 4.3 Revisors vurderinger Kommunen må selv vurdere når behandlingen av personopplysninger er meldepliktige og når behandlinger er konsesjonspliktige. Datatilsynet gir veiledning for når kommunene må søke konsesjon eller gi melding i forbindelse med personopplysninger. Konsesjonsplikten gjelder for elektronisk behandling av sensitive opplysninger. Meldeplikten gjelder for elektronisk behandling av ikke-sensitive personopplysninger. Kommunene har unntak fra konsesjonsplikt for behandlinger av personopplysninger som har hjemmel i egen lov. Når behandlingen er unntatt konsesjonsplikt, skal den meldes til Datatilsynet i stedet. 17 Datatilsynet har i forbindelse med veilederen gitt ut en liste med noen eksempel over hvilke etater/virksomheter i kommunen som har fritak fra konsesjon med hjemmel i lov, se tabell 1. Tabell 1: Datatilsynets liste over hvilken lovhjemmel som bare krever melding. Listen er ikke uttømmende. Unntaket fra konsesjonsplikten gjelder bare så langt behandlingene skjer innenfor rammen i de forskjellige lovene. Etat/virksomhet Hjemmel i lov Barnevern Barnevernlova 3-1(jf. kap. 4) Sosialtjenesten Sosialtjenesteloven 2-1 (jf. kap. 4, 5 og 6) Rusmiddeletaten Sosialtjenesteloven kap. 6 PP-tjenesten Opplæringsloven 13-5, 1.ledd, jf Datatilsynet, Konsesjons- eller meldeplikt for kommunene (artikkel), Datatilsynet Telemark kommunerevisjon IKS 8

14 Familievernkontor Kontantstøtte-register: Kommunens register over barn som oppfyller vilkårene for kontantstøtte. Kommunehelsetjenestens behandlingsrettede register (journal)/pasientadministrasjon innen rammen av helsepersonelloven 26. Familievernkontorloven 11, jf. 1 Barnehageloven 8a Helsepersonelloven 26 og 39 Om kommunen ikke har rutiner for behandling av meldeplikt og konsesjonsplikt er det et brudd på personopplysningsforskriften ledd bokstav f. Det er viktig at ansvaret for meldeplikten og konsesjonsplikten plasseres tydelig, slik at det ikke er tvil om hvem som har ansvaret for dette. De fleste programvarene i kommunen er lisensbaserte. En lisensavtale er et bevis på at kommunen har rett til å bruke programvaren. Noen av lisensavtalene har krav om antall brukere av programvaren. Kommunen bør derfor ha en oversikt over hvor mange brukere det er som har tilgang til programvaren. Om det er krav til et fast antall brukere av en programvare, bør den IT-ansvarlige enten nekte å gi tilgang til flere brukere eller utvide lisensen for antall brukere. Det siste kan føre til økte lisenskostnader. Vi har ikke gått gjennom kommunens lisensavtaler, men mener med bakgrunn i den informasjon vi har mottatt, at kommunen har nødvendige lisenser for deres datasystem/programvarer. Det virker som at kommunen er klar over og tar hensyn til opphavsretter. 4.4 Konklusjon Med bakgrunn i informasjonen vi har mottatt, kan vi si at kommunen overholder kontraktsmessige krav. Kommunen burde likevel vurdere å utarbeide en fullstendig oversikt over lisensavtaler og brukere, noe som også kan lette arbeidet med administrasjonen av avtalene. Kommunen har ikke etablert rutiner som ivaretar meldeplikt og konsesjonsplikt overfor Datatilsynet. Vi kan ikke slå fast om meldeplikten til Datatilsynet faktisk er overholdt, da det er uklart hvem som har ansvar, og melding/konsesjon ikke er dokumentert. Manglende dokumentasjon er et brudd på plikten til internkontroll etter personopplysningsloven og personopplysningsforskriften. De ansatte har en bevisst holdning til behandling av informasjon, spesielt sensitiv informasjon. 4.5 Anbefaling Kommunen bør utarbeide en fullstendig oversikt over fagsystemene som viser hvilken lovhjemmel for saksbehandling den enkelte enheten benytter, om det trengs konsesjon eller melding, type lisens og antall brukere. Kommunen bør avklare om meldeplikten til datatilsynet er overholdt. Kommunen bør etablere internkontroll for å sikre at meldeplikten og andre plikter etter personopplysningsloven blir overholdt. Telemark kommunerevisjon IKS 9

15 5 Sikrer virksomhetens organisering og etablerte sikkerhetstiltak en god IT-sikkerhet? 5.1 Revisjonskriterium Hva som er kommunens politikk for informasjonssikkerhet bør være kjent for alle ansatte i kommunen. Kommunen bør utarbeide klare retningslinjer for informasjonssikkerhet. Behandling av personopplysninger er for kommuner regulert i personopplysningsloven og helseregisterlova, der henholdsvis 13 og 16 stiller krav til sikring av personopplysninger og krav til dokumentert internkontroll. Den som har ansvaret for behandling av opplysningene er normalt representert ved administrativ ledelse. Ansvaret innebærer og at det settes av tilstrekkelige ressurser, både med tanke på personell og økonomi, slik at tilfredsstillende informasjonssikkerhet blir opprettholdt. Samarbeid mellom parter og leie av personell som utfører oppgaver kommunen ikke kan utføre selv, bør være regulert i en avtale. Informasjonssystemet skal 18 benyttes i samsvar med faste rutiner. I den grad det er nødvendig for å oppnå tilfredsstillende informasjonssikkerhet, skal det være skriftlige rutiner for bruk, drift og vedlikehold av utstyr eller program. Dette for å sikre at alle aktiviteter som er viktige for sikkerheten gjennomføres og at arbeidsoppgavene blir utført likt hver gang. Rutinene skal ha en detaljeringsgrad som er tilpasset kommunens behov og skal vise: - ansvar for at arbeidsoppgaven blir utført - ansvar for utarbeidelse og vedlikehold av rutinen - tidspunkt for utføring av arbeidsoppgaven - hva slags aktivitet som skal gjennomføres - hva slags resultat en skal oppnå og hvordan dette blir rapportert i organisasjonen Organisering Kommunen må etablere klare ansvars- og myndighetsforhold slik at det kommer klart fram hvem som har fått delegert oppgavene. 19 Dette bør være dokumentert slik at de ansatte kjenner og følger faste rutiner for bruk av informasjonssystemet, og gjennomføring av de sikkerhetstiltakene ansatte selv er ansvarlig for. Samme gjelder også for ansatte og personell som er leid inn for å utføre drift og vedlikehold, dvs. at de utfører arbeidet i samsvar med faste rutiner. Ansvaret for utarbeidelse av rutiner kan delegeres til den som er best kjent med arbeidsoppgavene. I følge datatilsynet 20, kan eksempler på organisatoriske tiltak være å etablere klare ansvars- og myndighetsforhold i organisasjonen, sørge for tilfredsstillende kompetanse blant de ansatte, og bare gi tilgang til personopplysninger i den grad det er nødvendig for å utføre pålagte oppgaver. Det bør lagas rutiner for hvordan tiltakene skal evalueres. Arbeidsdeling er et av de viktigste tiltakene en kan gjøre for å motvirke mislighold. 21 Det er og viktig å ha klare ansvarslinjer, slik at alle ledere og medarbeidere vet hvem som har ansvaret for de forskjellige funksjonene. 18 Avsnittet er basert på: Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s Datatilsynet, Veiledning i informasjonssikkerhet for kommuner og fylker, Datatilsynet, s Ot.prp.nr. 92 ( ) om behandling av personopplysninger kapittel 2 Til 13 Informasjonssikkerhet 21 Døssland, E. og Olsen, A.B., 17./ Forebygging av misligheter, Norges interne revisorers forening, (Kursmateriell) Telemark kommunerevisjon IKS 10

16 5.1.2 Sikkerhetstiltak Det bør være etablerte rutiner for tilgangskontroll, sikkerhetskopiering, konfigurasjonskontroll, avviksbehandling, leverandører/parter/konsulentoppdrag. Det bør være krav til kompetanse hos de som arbeider med IT i kommunen. Det bør videre være rutiner for vedlikehold og for oppdatering av programvare som håndterer viruskontroll. I personopplysningsforskriften 2-14 og 2-16 står det: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Forsøk på uautorisert bruk av informasjonssystemet skal registreres. Sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være avgrenset til handlinger som den enkelte forutsettes å utføre. Sikkerhetstiltak skal dokumenteres. Rutiner for bruk av informasjonssystemet og annen informasjon av betydning for informasjonssikkerheten, skal dokumenteres. Datatilsynets rettledning for tynne klienter 22 anbefaler at det konfigureres soner og sikkerhetsbarrierer. Følgende avsnitt er hentet fra rettledningen 23 : Soner benyttes som et grunnleggende prinsipp i sikkerhetsarkitekturen. En sone utgjør en del av et informasjonssystem og deles for eksempel opp etter behov for skjerming av ulike personopplysninger. Soner opprettes også basert på behovet for tilgangsstyring og segmentering av brukerne. Trafikk fra sikker sone skal alltid være initiert fra innsiden av barrieren. For å avgrense tilgangen til personopplysninger, kan det være hensiktsmessig å benytte følgende soner internt i en virksomhet: Sikret/lukket sone; hvor sensitive personopplysninger behandles(ved behov opprettes flere sikrede soner i virksomheten, for eksempel dersom dette understøtter taushetsplikt bedre). Den enkelte sikrede sone er teknisk avskilt fra resten av det interne nettverk og eventuelle andre sikrede soner, foruten mot eksterne nettverk. Intern/åpen sone; hvor ikke-sensitive personopplysninger behandles. Denne kan også omfatte andre opplysninger i virksomheten som ikke skal eksponeres eksternt. Mellom eksternt nettverk og sikret sone hvor sensitive opplysninger behandles skal det være flere sikkerhetsbarrierer. Sikkerhetsbarrierene skal inneholde funksjoner for: Nettverkskontroll; som regulerer informasjonsflyten mellom eksternt nettverk og virksomhetens ulike soner, herunder hva slags nettverks- og applikasjonsprotokoller som kan benyttes. Tilgangskontroll; som muliggjør kontroll og avgrensing på applikasjonsnivå med det formål å: o Verifisere at det er den tillatte tjenesten som faktisk nyttes o Hindre at tjenesten for initiering av aktiviteter som ikke er tillatt og ikke er del av tjenesten selv o Kontrollere og avgrense funksjonaliteten i tjenestene etter behov o Forhindre utnyttelse av kjente svakheter i tjenestene Det skal ikke være mulig for medarbeidere å endre konfigurasjonen uten autorisasjon. Dette skal være dokumentert. Det bør være en hensiktsmessig delegering av ansvaret for 22 Teknisk sikkerhetsløsning hos brukeren skal bidra til å hindre uautorisert utlevering av sensitive personopplysninger ved utilsiktet overføring av data mellom program, eksempelvis ved bruk av klipp og lim - funksjon. 23 Datatilsynet, Veileder for bruk av tynne klienter, Datatilsynet Telemark kommunerevisjon IKS 11

17 sikkerheten, inkludert tilgangskontroll, overvåking, opplæring mm. Brukerne bør tildeles tilgang etter behov. Når kommunen benytter hjelp fra en tredjepart, for eksempel en konsulent eller underleverandør, bør det være en avtale som klart definerer ansvar/rettigheter. Det bør også være en tilgangskontroll som gjør at tredjepart bare får de tilgangene som trengs i en avgrenset periode. Med bakgrunn i ovennevnte utredning blir revisjonskriteriene slik: Det bør være klare ansvars- og myndighetsforhold i kommunen. Det bør være en arbeidsdeling som sikrer tilfredsstillende kompetanse hos de ansatte og mindre sårbarhet ved sykdom eller annet fravær. Det skal være skriftlige sikkerhetstiltak som sikrer en god IT-sikkerhet. 5.2 Funn og fakta Organisering Samarbeidet om IKT mellom Bø, Nome og Sauherad kommuner er organisert som en felles avdeling organisert etter kommunelovens 27 om interkommunalt samarbeid. 24 Kontorkommune er Bø og avdelingen heter Midt-Telemark IKT. Samarbeidet omfatter all innkjøp, drift og vedlikehold av kommunens tekniske anlegg og programvare knyttet til informasjons- og kommunikasjonsteknologi, herunder også telefonisystemene. På forespørsel utarbeidet Midt-Telemark IKT en oversikt over hvilke IT-system kommunen har og hvem som er ansvarlig for dem, jf Oversikten vi er fått er mangelfull og viser at det ikke var en fullstendig oversikt over hvem som hadde ansvaret for noen av fagsystemene. Delegering av ansvar følger ansvarshierarkiet i kommunen og er naturlig fordelt etter hvilke oppgaver de ansatte har i hverdagen. De ansatte vi har snakket med har stort sett vært klar over sitt ansvar og hvilken myndighet de har blitt delegert. Det var imidlertid uklart om det er systemansvarlig, leverandøren eller Midt-Telemark IKT som er gitt ansvaret for å gi melding til Datatilsynet. De ansatte har i varierende grad blitt tatt med i prosessen med å velge nye fagapplikasjoner. Noen ansatte har deltatt i grupper med representanter fra alle kommunene i Midt-Telemark, hvor beslutningen om ny fagapplikasjon har blitt tatt med bakgrunnen i innspill fra gruppen. Andre har opplevd at de får en ny applikasjon som følge av at en eller flere av Midt-Telemark kommunene har applikasjonen fra før Tilgangskontroll Kommunen har installert brannmurer for å forebygge uautorisert tilgang. Midt-Telemark IKT opplyste i møte at de har kjøpt en ny versjon av brannmuren som de skulle implementere i løpet av kort tid. Den nye versjonen skal håndtere nye former for trusler på en bedre måte og det følger med en vedlikeholdsavtale som medfører at brannmuren er oppdatert. Unaturlig trafikk, det vil si forsøk på angrep utenifra, blir håndtert av brannmuren og angrepene blir 24 Avsnittet basert på dokumentene: Viljeserklæring for samarbeidet mellom Bø, Nome og Sauherad kommuner og Vedtekter for regional IKT avdeling i Midt-Telemark. Telemark kommunerevisjon IKS 12

18 registrert i systemet. Det er ikke noen faste rutiner for gjennomgang av dette registeret (loggen). Virus og spam stoppes av antivirusprogrammet Trend. Norman brukes foreløpig på internett, men også her vil de etter hvert bruke Trend. Trend blir oppdatert automatisk. Midt-Telemark IKT mener de har grei kontroll på virus og spam i kommunene. Hovedsakelig brukes det tynne klienter i kommunen, spesielt i sikker sone. Et unntak er PPtjenesten, som har bærbare PCer. For å kunne logge seg på sikker og åpen sone må imidlertid de ansatte være fysisk tilstede for å koble seg på fagapplikasjonene. Fra sikker sone er det ikke mulig å bruke USB-innganger 25. Det er innført ekstra sikkerhetsbarrierer for brukerne som arbeider med applikasjoner i sikker sone. Det er ikke mulig å benytte applikasjoner i åpen og sikker sone samtidig, heller ikke kopiering mellom sonene. Annen sensitiv informasjon om pasienter/klienter som skal formidles mellom enhetene skjer via post eller muntlig beskjed. Sensitiv informasjon blir ikke sendt ut via e-post, men ansatte har opplevd at pårørende/foresatte har sendt sensitiv informasjon via e-post til dem. Hvordan de forskjellige fagsystemene har organisert tilgangen varierer, men tilgang blir gitt i samsvar med kompetanse og arbeidsplassen til brukeren. Applikasjonene som brukes i sikker sone kan ofte gradere tilgangen veldig detaljert, og eksempelvis i Profil, har de egne kategorier som leger, psykiatri og sykepleier, hvor en har de tilgangene en trenger i forhold til funksjon. Systemansvarlig gir de ansatte den tilgangen de trenger i systemet. Ved endring av arbeidsoppgaver er det stort sett rutine å endre tilgangen etter behov. I noen systemer har det ikke vært gode rutiner for melding til IT-ansvarlig om sletting av tilgang i systemet. Vi kjenner til at det fremdeles er brukeridenter på tidligere ansatte i kommunen i noen fagapplikasjoner. Alle systemansvarlige benytter heller ikke muligheten til å sette ansattes tilgang som passiv i perioder med langvarig sykefravær eller permisjoner. Alle ansatte har en egen profil i nettverket til kommunen. Denne profilen er passordbeskyttet. For å komme inn på et av fagsystemene må de ansatte ha tilgang og bruke et eget passord, samt bytte passordet første gangen de logger seg på. På denne måten er det kun den ansatte som vet passordet. Systemansvarlig kan ikke se passordet og må derfor nullstille passordet dersom ansatte glemmer passordet sitt Fysisk sikring Tilgang til serverrom og kabelrom var tilstrekkelig sikret da vi kontrollerte det. De vi snakket med i Midt-Telemark IKT mener Midt-Telemark har servere på for mange steder. Samtidig er det en sårbarhet ved brann dersom mange applikasjoner lagres på serverne med bare en lokasjon. Midt-Telemark IKT sier de får melding på mobil om nettet er nede og blir varslet på e-post om feil. De mener likevel den tekniske overvåkingen av nettverk og servere kunne vært bedre. Plassering av skrivere, rutiner for henting av dokumenter blant de ansatte og tilgang til kontor gir tilstrekkelig tilgangskontroll. Et unntak har vært skrivertilgangen/innstillingene i systemet 25 USB (universell seriebuss) er ein standard for å kople einingar til ei datamaskin. Telemark kommunerevisjon IKS 13

19 til NAV. I sosialsystemet har de hatt problemer med at dokumenter har blitt skrevet ut på feil skriver. I noen tilfeller var skrivere i lokalet byttet om, men det har også blitt skrevet ut fra Acos Sosial til skrivere andre steder i landet i NAV-systemet. De ansatte ved sosial har vært i dialog med Midt-Telemark IKT og NAV for å løse dette Sikkerhetskopiering Rutiner for sikkerhetskopiering er tilstrekkelige, men rutinene er ikke skriftlige. Systemet for oppbevaring av sikkerhetskopier er ikke tilstrekkelig. Midt-Telemark IKT opplyste i møte vi hadde om at et nytt sikkerhetskopieringssystem skulle innføres i løpet av året Konfigurasjonskontroll, vedlikehold og nedetid 26 De ansatte kan ikke installere noe på de tynne klientene eller endre på konfigurasjonene, det må gjøres av de IT-ansatte i profilen til den enkelte. Midt-Telemark IKT gjennomfører det meste av oppgraderingene i IT-systemene, men noe skjer via leverandør. Det skjer ofte oppgraderinger ved årsskiftet eller i forkant av ferier. Applikasjonsoppdateringer fører til korte driftsstanser, men eksempelvis bytting av server kan ta lengre tid. I forbindelse med flytting av server fra Ulefoss til Bø, opplyste Midt-Telemark IKT at de hadde utviklet et eget opplegg for denne prosessen. Midt-Telemark IKT sier de er i tett dialog med brukerne angående oppgraderinger og varsler nedetid for nettet. En vi intervjuet er ikke helt fornøyd med vaktberedskapen for å unngå nedetid. Han mener beredskapen i helgene er ikke god nok. Eksempelvis kan de ikke ha driftsstans innen pleie og omsorg over helgen, og er derfor avhengig av vaktberedskap i helgene Avvikshåndtering Det er ikke rutiner eller føringer for avvikshåndtering (innen IT) i kommunen. Noen områder, eksempelvis de som bruker Profil, har egne rutiner for avvikshåndtering, men disse er enhetsspesifikke og er ikke direkte overførbare til resten av kommunen. Det gis opplæring i bruk av systemene. En skal eksempelvis ikke låne brukarnavn og passord av hverandre. For noen fagsystem er det særskilte rutiner for overstyring av tilgang til opplysninger i systemet. Det loggføres hva brukerne gjør i systemet og eventuelle overtramp vil kunne spores tilbake til personen gjennom brukarnavnet. I systemet må den ansatte forklare hvorfor han/hun har overstyrt tilgangen, og leder skal følge opp dette Leverandører/tredjeparter Leverandører av fagapplikasjoner har i utgangspunktet ikke tilgang til kommunens programmer, verken i sikker eller åpen sone. Dersom leverandørene må gjøre oppdateringer i systemet, må Midt-Telemark IKT åpne en midlertidig linje for leverandøren. Når arbeidet er ferdig, fjernes tilgangen til leverandøren. De systemansvarlige vi snakket med, sa de kunne se hva leverandøren gjorde på skjermen, slik at de kunne kontrollere at leverandøren kun benyttet den informasjonen som var nødvendig for å gjøre arbeidet sitt. Ofte får brukerne av systemene råd/brukerstøtte over telefonen, slik at det ikke er nødvendig at noen utenfor kommunen trenger å få tilgang til systemet. 26 En situasjon hvor brukerne ikke har tilgang til eller kan bruke program på vanlig måte Telemark kommunerevisjon IKS 14

20 Underleverandørene må ifølge dem vi snakket med underskrive taushetserklæring. 5.3 Revisors vurderinger Organisering Det framstår også som litt uklart hvordan ansvarsdelingen mellom Midt-Telemark IKT og deltakerkommunene er. Etter personopplysningsloven er det behandlingsansvarlige, det vil si kommunen, som har ansvaret for å etterleve meldeplikten og alle de andre pliktene etter personopplysningsloven overfor Datatilsynet. Vi har ikke sett dokumentasjon hvor ansvaret for meldeplikt og konsesjonsplikt er avtalt. Overfor Datatilsynet er kommunen ansvarlig, uavhengig av hva kommunen avtaler med en annen part. Et viktig grep for å motvirke mislighold er arbeidsdeling. Fordi delegering av ansvar i kommunen følger ansvarshierarkiet og er naturlig fordelt etter hva slags oppgaver de ansatte har i hverdagen, har kommunen gjort et viktig grep for å forhindre mislighold. God arbeidsdeling gjør også kommunen mindre sårbar ved sykdom. Det er viktig at de ansatte og systemansvarlige har mulighet til å delta og komme med innspill om valg av IT-program i kommunen. For å oppnå enighet blant de ansatte om avgjørelser, er det viktig at medarbeiderne føler at prosessen rundt avgjørelsene skjer på en riktig og rettferdig måte at prosedyrene oppfattes som rettferdige. Dette vil føre til at de ansatte blir fornøyd med avgjørelsene som blir tatt Sikkerhetstiltak Kommunen har en del rutiner på plass, men de er ikke nedfelt i et dokument. Eksempelvis har kommunen rutiner for sikkerhetskopiering. Skriftlig rutine for sikkerhetskopiering bør utarbeides og i rutinen bør det beskrives: - hvordan sikkerhetskopiering skal utføres - hvem som har ansvaret for kopieringen - hvilke data som skal kopieres - kopieringstidspunkt og intervall - lagring av reservekopi og skildring av lagringsmedium og sikring av dette - metode for gjenoppretting av normal drift ved bruk av sikkerhetskopier. Andre sikringstiltak er også på plass. Kommunen har blant annet brannmur, viruskontroll strenge tilgangskontroller for brukere i sikker sone, etablerte og offentlig godkjente programvarer. Men det at kommunen ikke har rutiner for gjennomgang av registeret for unaturlig trafikk, jf punkt 5.2.2, er et brudd på Datatilsynets Veiledning i informasjonssikkerhet for kommuner og fylker. Den sier: Det skal utarbeides rutine for gjennomgang av hendelsesregistre som omfatter: hvem som skal ha ansvar for å gjennomgå registreringene hvor hyppig registreringene skal gjennomgås beskrivelsene av unormale aktivitetsmønstre som bør understrekes hvordan etterkontroll av unormale aktivitetsmønstre bør foretas hvordan eventuelle sikkerhetsbrudd eller mistanke om slikt skal følges opp hvem som har ansvar for sletting av registreringer ved lagringstidens utløp. 27 Kim, W. C. og Mauborgne, R Procedural Justice Decision Making and the Knowledge Economy. Strategic Management Journal, 19, Telemark kommunerevisjon IKS 15

21 Formålet med avvikshåndtering er å lukke avvik, gjenopprette normal tilstand/drift, og hindre gjentakelse. Om det ikke er samsvar mellom faste rutiner og hvordan informasjonssystemet benyttes, skal resultatet fra avviksbehandlingen benyttes som grunnlag ved gjennomgang og endring i de aktuelle rutinene. Den som oppdager avvik har plikt til å rapportere dette skriftlig. Kommunen bør derfor ha en rutine for behandling av avvik og en jevnlig sikkerhetsrevisjon for å forbedre områder som ikke fungerer og ta tak i nye utfordringer innen IT. Sauherad er en mindre kommune med små ressurser. Å inngå samarbeid med andre kommuner for å forenkle driften av datasystemene, øke kompetansen, redusere driftsutgiftene og gjøre driftsmiljøet mindre sårbart er derfor et viktig grep for å utnytte ressursene best mulig. For å sikre at tilgangen til datasystemet er begrenset til de som trenger tilgangen, bør tilganger slettes umiddelbart når ansatte slutter. Dette gjelder også ansatte ved langvarig sykdom og permisjoner. På denne måten kan kommunen også unngå å betale for tilganger i fagapplikasjoner de ikke trenger. Når de ansatte hos underleverandørene skriver under en taushetserklæring, vurderer vi dette som tilstrekkelig med tanke på deres rolle som underleverandør 5.4 Konklusjon Rutinene for tilgangskontroll, sikkerhetskopiering og konfigurasjonskontroll er jevnt over god i Sauherad kommune, men det mangler en del dokumentasjon. Vi har opplevd noe usikkerhet hos systemansvarlige om deres ansvar, spesielt om meldeplikt og konsesjonsplikt til Datatilsynet. Den fysiske sikringen av data i kommunen som helhet er noe svak, men spesielt der hvor de behandler sensitive opplysninger er det etablert gode fysiske sikringstiltak. Avviksbehandling varierer en del i kommunen og det bør vurderes om dette også nedfelles i rutiner. Vi kan gjennom våre kontroller konkludere med at IT-sikkerheten jevnt over er god mot leverandørene (av IT-systemer/applikasjoner) til Sauherad kommune. Så langt revisor har fått kjennskap til, har de bare de tilgangene de trenger. 5.5 Anbefaling Kommunen bør utvikle skriftlige rutiner for IT-behandling i de virksomhetene hvor dette ikke finnes i kommunen i dag. Tilganger til fagapplikasjoner bør slettes umiddelbart når en ansatt slutter og tilgangen til ansatte ved langvarig sykdom eller permisjoner bør settes som passiv. Ansvar og myndighet for oppgaver i kommunen bør tydelig plasseres. Prosesser ved omlegging/valg av nye applikasjoner/system bør være tilrettelagt for medvirkning fra kommunens ansatte. Telemark kommunerevisjon IKS 16

Kommunens Internkontroll

Kommunens Internkontroll Kommunens Internkontroll Verktøy for rådmenn Et redskap for å kontrollere kommunens etterlevelse av personopplysningsloven 2012 Innhold Til deg som er rådmann... 4 Hvordan dokumentet er bygd opp... 4 Oppfølging

Detaljer

Internkontroll og informasjonssikkerhet lover og standarder

Internkontroll og informasjonssikkerhet lover og standarder Internkontroll og informasjonssikkerhet lover og standarder Renate Thoreid, senioringeniør Side 1 Internkontroll og Informasjonssikkerhet Krav i Personopplysningsloven 13 og 14 Krav i Personopplysningsforskriften

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Lillesand kommune Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Lillesand kommune Arendal Revisjonsdistrikt IKS - februar 2009 INNHOLDSFORTEGNELSE 1. INNLEDNING... 3 2. PROSJEKTETS FORMÅL, PROBLEMSTILLING OG AVGRENSING...

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget 15.03.2011 1/11 INFORMASJONSSIKKERHET I SANDNES

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00478 Dato for kontroll: 17.06.2014 Rapportdato: 21.10.2014 Endelig kontrollrapport Kontrollobjekt: Den katolske kirke Oslo Katolske Bispedømme Utarbeidet av: Hallstein Husand og Henok Tesfazghi

Detaljer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale Avtale om leveranse av IKT-tjenester Tjenesteavtale nr.: SUNHF-2011 Del II - Databehandleravtale Versjon: 0.1 Dato oppdatert : 22.03.11 Databehandleravtale mellom Sunnaas Sykehus HF Organisasjonsnr.:

Detaljer

Veileder for bruk av tynne klienter

Veileder for bruk av tynne klienter Veileder for bruk av tynne klienter Dette dokumentet er en veileder for bruk av terminaltjener/klient (tynne klienter) for å skille samtidige brukerrettigheter i åpne og sikre soner. April 2005 Postadresse:

Detaljer

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund Saksnummer: 14/00406 Dato for kontroll: 30.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Eigersund kommune Sted: Egersund Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

VIRKE. 12. mars 2015

VIRKE. 12. mars 2015 VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter

Detaljer

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Saksnummer: 15/00499 Dato for kontroll: 18.05.2015 Rapportdato: 24.06.2015 Kontrollrapport Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger Utarbeidet av: Knut-Brede Kaspersen og Hallstein Husand

Detaljer

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum Spesielt om personvern og krav til sikring av personopplysninger Dag Wiese Schartum Personvern i forvaltningen - et problem! Generelt Forvaltningens IKT-bruk må alltid vurderes konkret i forhold til personopplysningslovens

Detaljer

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune

Forvaltningsrevisjon. IKT-sikkerhet og sårbarhet i Arendal kommune Arendal Revisjonsdistrikt IKS Arendal-Birkenes-Froland Gjerstad-Grimstad Lillesand-Risør-Tvedestrand-Vegårshei-Åmli ORG.NR. 971 328 452 Forvaltningsrevisjon IKT-sikkerhet og sårbarhet i Arendal kommune

Detaljer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre Saksnummer: 14/01055 Dato for kontroll: 09.10.2014 Rapportdato: 20.01.2015 Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte

Detaljer

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket. CLOUD COMPUTING En veiledning i bruk av skytjenester, 2014 Skytjenester Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Detaljer

Kan du legge personopplysninger i skyen?

Kan du legge personopplysninger i skyen? Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,

Detaljer

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets

Detaljer

Endelig Kontrollrapport

Endelig Kontrollrapport Saksnummer: 14/00258 Dato for kontroll: 09.04.2014 Rapportdato: 28.07.2014 Endelig Kontrollrapport Kontrollobjekt: Sogndal kommune Sted: Sogndal Utarbeidet av: Knut B. Kaspersen Ted Tøraasen 1 Innledning

Detaljer

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Ifølge Stortingsmelding nr. 17 (2006-2007) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper: Geir Martin Pilskog og Mona I.A. Engedal 8. Økende bruk av informasjons- og kommunikasjonsteknologi (IKT) medfører flere utfordringer når det gjelder sikkerhet ved bruken av IKT-system, nettverk og tilknyttede

Detaljer

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten Saksnummer: 15/00322 Dato for kontroll: 24.04.2015 Rapportdato: 08.06.2015 Kontrollrapport Kontrollobjekt: Horten kommune Sted: Horten Utarbeidet av: Knut-Brede Kaspersen, Hallstein Husand 1 Innledning

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00173 Dato for kontroll: 27.03.2012 Rapportdato: 22.08.2012 Endelig kontrollrapport Kontrollobjekt: Nordreisa kommune Sted: Storslett Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet

Detaljer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer

Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Sikkerhetsbestemmelsene i personopplysningsforskriften med kommentarer Desember 2000 Sikkerhetbestemmelsene i personopplysningsforskriften med kommentarer Side 2 av 15 INNHOLD DEL I INNLEDNING 3 DEL II

Detaljer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Saksnummer: 14/00404 Dato for kontroll: 29.04.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord Utarbeidet av: Knut-Brede Kaspersen og Ted Tøraasen 1 Innledning

Detaljer

Databehandleravtaler

Databehandleravtaler Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7

Detaljer

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Saksnummer: 14/00492 Dato for kontroll: 28.05.2014 Rapportdato: 30.04.2015 1 Innledning Kontrollrapport Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø Utarbeidet av: Knut-Brede Kaspersen

Detaljer

HVEM ER JEG OG HVOR «BOR» JEG?

HVEM ER JEG OG HVOR «BOR» JEG? DISCLAIMER HVEM ER JEG OG HVOR «BOR» JEG? INFORMASJONSSIKKERHET Konfidensialitet Sikre at informasjon bare er tilgjengelig for de som skal ha tilgang Integritet Sikre informasjon mot utilsiktet eller

Detaljer

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015

Risikovurdering. Utgitt med støtte av: Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Risikovurdering Støttedokument Faktaark nr 7 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket

Detaljer

Ansvar og organisering

Ansvar og organisering Utgitt med støtte av: Norm for www.normen.no Ansvar og organisering Støttedokument Faktaark nr 1 Versjon: 3.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang Målgruppe Dette faktaarket er spesielt relevant

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 12/00321 Dato for kontroll: 29.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Fremskrittspartiet Sted: Karl Johans gate 25 Utarbeidet av: Knut-Brede Kaspersen 1 Innledning

Detaljer

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE

PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE PERSONOPPLYSNINGER VEDRØRENDE ELEVER I HEDMARK FYLKESKOMMUNE Hedmark fylkesrevisjon Parkgt. 64 2325 Hamar tlf. 62 54 47 21 Fylkesrevisjonen@hedmark.org Forvaltningsrevisjonsprosjekt INNHOLDSFORTEGNELSE

Detaljer

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10

Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK

Detaljer

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement)

Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Reglement for bruk av Hedmark fylkeskommunes IT-løsninger (IT-reglement) Fastsatt av Fylkesdirektøren 18.12.13, gjelder fra 1.1.14. Erstatter «IT-instruks for HFK» fra 2008. Protokoll str 14 1. Virkeområde

Detaljer

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Datatilsynet Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON Vi viser til Deres søknad av xx.xx.xxxx om konsesjon til å behandle

Detaljer

Sikkerhetsmål og -strategi

Sikkerhetsmål og -strategi Sikkerhetsmål og -strategi Side 1 av 8 Sikkerhetsmål og -strategi NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av

Detaljer

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON

SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON SØNDRE INNHERRED REVISJONSDISTRIKT IT-REVISJON LEVANGER KOMMUNE RAPPORT NR. 1.1/2003 FORVALTNINGSREVISJON 1 INNLEDNING startet arbeidet med It-revisjon i Levanger kommune ved informasjonsbrev 03.01.01.

Detaljer

IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007. Telemark kommunerevisjon IKS

IT-sikkerheit. - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007. Telemark kommunerevisjon IKS IT-sikkerheit - Kviteseid kommune - Forvaltningsrevisjonsrapport nr: 729 007 2007 Telemark kommunerevisjon IKS Innhald Samandrag...iv 1 Innleiing...1 1.1 Bakgrunn...1 1.2 Problemstillingar...1 1.3 Avgrensing...1

Detaljer

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven)

Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Lov om behandling av helseopplysninger ved ytelse av helsehjelp (pasientjournalloven) Kapittel 1. Generelle bestemmelser 1.Lovens formål Formålet med loven er at behandling av helseopplysninger skal skje

Detaljer

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner

Velkommen til Fagkurs i informasjonssikkerhet. basert på Normen for kommuner Velkommen til Fagkurs i informasjonssikkerhet basert på Normen for kommuner 1 Mål for fagkurset (1) Deltakerne skal etter gjennomføring av kurset: Ha kunnskap om og kunne formidle hvorfor ivaretakelse

Detaljer

Sikkerhetskrav for systemer

Sikkerhetskrav for systemer Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Sikkerhetskrav for systemer Støttedokument Faktaark nr. 38 Versjon: 4.0 Dato: 16.03.2015 Formål Ansvar Gjennomføring Omfang Målgruppe

Detaljer

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde

IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde IT-Reglement for Telemark fylkeskommune (TFK) 1 Reglementets virkeområde 1.1 Dette reglementet regulerer en brukers rettigheter og plikter ved bruk av TFKs ITressurser. Med TFKs IT-ressurser menes alle

Detaljer

Overordnet IT beredskapsplan

Overordnet IT beredskapsplan Overordnet IT beredskapsplan Side 1 av 7 Overordnet IT beredskapsplan NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00129 Dato for kontroll: 17.03.2014 Rapportdato: 23.06.2014 Foreløpig kontrollrapport Kontrollobjekt: Statens sivilrettsforvaltning Sted: Møllergata 1, Oslo Utarbeidet av: Hallstein Husand

Detaljer

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten».

Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Sikkerhetsledelse Målet er å bevisstgjøre om viktige prinsipper og tiltak for ledere i «Virksomheten». Policy Informasjonssikkerhet på overordnet nivå er beskrevet i «Virksomhetens» informasjonssikkerhetspolicy.

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike

Detaljer

IT-reglement Aurskog-Høland kommune for ansatte og politikere

IT-reglement Aurskog-Høland kommune for ansatte og politikere IT-reglement Aurskog-Høland kommune for ansatte og politikere Vedtatt i rådmannens ledermøte 03.12.14 0 For at kommunens IT-systemer skal fungere optimalt er det viktig at alle kommunens ITbrukere følger

Detaljer

7. Sikkerhet. Per Erik Gjedtjernet og Geir Martin Pilskog

7. Sikkerhet. Per Erik Gjedtjernet og Geir Martin Pilskog Nøkkeltall om informasjonssamfunnet 2006 Sikkerhet Per Erik Gjedtjernet og Geir Martin Pilskog 7. Sikkerhet Vanskeligheter med sikkerheten på Internett og andre nettverk vokser med økende bruk av informasjons-

Detaljer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Kristiansund kommune Rådhuset, Kaibakken 2 6509 KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00906-5/HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund

Detaljer

Databehandleravtale. Denne avtalen er inngått mellom

Databehandleravtale. Denne avtalen er inngått mellom Databehandleravtale Denne avtalen er inngått mellom AS, Org. nr.:.., med forretningsadresse som selger av tjenester og databehandler ( heretter benevnt databehandler) og Ruter AS, Org. nr.: 991 609 407

Detaljer

Bruk av databehandler (ekstern driftsenhet)

Bruk av databehandler (ekstern driftsenhet) Utgitt med støtte av: Norm for informasjonssikkerhet www.normen.no Bruk av databehandler (ekstern driftsenhet) Støttedokument Faktaark nr 10 Versjon: 4.0 Dato: 12.2.2015 Formål Ansvar Gjennomføring Omfang

Detaljer

IKT-reglement for NMBU

IKT-reglement for NMBU IKT-reglement for NMBU Vedtatt av Fellesstyret for NVH og UMB 23.05.2013 IKT-reglement for NMBU 1 Innhold 1 Virkeområde for NMBUs IKT-reglement... 3 1.1 Virkeområde... 3 1.2 Informasjon og krav til kunnskap

Detaljer

4.2 Sikkerhetsinstruks bruker

4.2 Sikkerhetsinstruks bruker 4.2 Sikkerhetsinstruks bruker Innledning Denne instruksen beskriver retningslinjer for bruk av IT ved Evenes kommune. Instruksen gjelder for alle ansatte, og skal være lest og signert, og så leveres til

Detaljer

Hva er et styringssystem?

Hva er et styringssystem? Hva er et styringssystem? Og forholdet mellom ISO 27001 og 27002 Seminar 12. april 2012 Ingvild Høvik Kiland Riksrevisjonens Dok 1 (2010-2011) Revisjonen var basert på Nasjonale retningslinjer for å styrke

Detaljer

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012

Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE Sverre Uhlving 18.04.2012 Stavanger Universitetssjukehus Helse Stavanger HF Fag- og foretaksutvikling Datatilsynet v/ Helge Veum Postboks 8177 Dep 0034 OSLO Vår ref: Deres ref: Saksbehandler: Dato: 2012/1295-15160/2012 12/00305-1/HVE

Detaljer

Internkontroll i mindre virksomheter - introduksjon

Internkontroll i mindre virksomheter - introduksjon Internkontroll i mindre virksomheter - introduksjon Veileder 07/02a (del 1 av 2) Publisert 15.02.2007 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: postboks 8177, dep 0034 Oslo E-post: postkasse@datatilsynet.no

Detaljer

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark

IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglement for elever ved Toppidrettsgymnaset i Telemark IKT- reglementet skal fremme god samhandling, god orden, gode arbeidsvaner og bidra til et stabilt og sikkert driftsmiljø slik at det legges

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut

Detaljer

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS 29.08.2011 6.2.11 Gjennomgå avtaleverket for å få på plass databehandleravtaler med driftsleverandørene 6.2.7 Pasientreiser

Detaljer

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen

Rettslige krav til styring av informasjonssikkerhet. Karin Kristiansen og Amund Eriksen Rettslige krav til styring av informasjonssikkerhet Karin Kristiansen og Amund Eriksen Hva får dere IKKE? Informasjonssikkerhet? Informasjonssikkerhet dreier seg om å håndtere risiko relatert til virksomhetens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/00491 Dato for kontroll: 27.05.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig

Detaljer

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Saksnummer: 14/00130 Dato for kontroll: 05.05.2014 Rapportdato: 30.04.2015 Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen

Detaljer

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner

Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner Hvordan oppfylle hovedkravene i personopplysningsloven? - En veiledning for kommuner og fylkeskommuner IKA KONGSBERG Interkommunalt arkiv for Buskerud, Vestfold og Telemark IKS Forord Med personopplysningsloven

Detaljer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Elverum kommune Postboks 403 2418 ELVERUM Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/00939-9/MEI 11. juli 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll

Detaljer

Kort innføring i personopplysningsloven

Kort innføring i personopplysningsloven Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,

Detaljer

Datasikkerhet internt på sykehuset

Datasikkerhet internt på sykehuset Datasikkerhet internt på sykehuset DRG Konferansen 11. mars 2009 Informasjonssikkerhetsleder Jan Gunnar Broch Sykehuset Innlandet HF Agenda Informasjonssikkerhet; Hva, hvorfor og hvordan Hvordan håndterer

Detaljer

Veiledning i informasjonssikkerhet for kommuner og fylker

Veiledning i informasjonssikkerhet for kommuner og fylker Veiledning i informasjonssikkerhet for kommuner og fylker TV-202:2005 Veiledning i informasjonssikkerhet for kommuner og fylker Side 2 av 39 Forord Veileder i informasjonssikkerhet for kommuner og fylkeskommuner

Detaljer

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter) Innhold Kort om behandling av helseopplysninger i kommunen Eksempler på sårbarheter Krav til informasjonssikkerhet i Normen 2 Behandling

Detaljer

KF Brukerkonferanse 2013

KF Brukerkonferanse 2013 KF Brukerkonferanse 2013 Tromsø 18.03.2013 Internkontroll og informasjonssikkerhet Lovkravene Personopplysningsloven 13 - Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00940 Dato for kontroll: 07.11.2013 Rapportdato: 11.03.2014 Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning

Detaljer

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

14/00406-11/KBK 30.04.2015. Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet Eigersund kommune 4370 EGERSUND Deres referanse Vår referanse Dato 15/8889 / 14/605 /FE-060, Ti-&58 14/00406-11/KBK 30.04.2015 Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik

Detaljer

Felles datanett for kommunene Inderøy, Verran og Steinkjer

Felles datanett for kommunene Inderøy, Verran og Steinkjer IKT-reglement Felles datanett for kommunene Inderøy, Verran og Steinkjer Inn-Trøndelag IKT Brukerstøtte: Tlf: 74 16 93 33 helpdesk@ikt-inntrondelag.no Innhold 1. Innledning... 3 2. Virkeområde... 3 3.

Detaljer

Sikkerhetsinstruks bruker

Sikkerhetsinstruks bruker Sikkerhetsinstruks bruker Side 1 av 5 Sikkerhetsinstruks bruker NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller sletting av ikke

Detaljer

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet

Databehandleravtale. Fellesforbundet avdeling.. Fellesforbundet Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Fellesforbundet avdeling.. Org.nr.:. Behandlingsansvarlig og Fellesforbundet Org.nr.:

Detaljer

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet

Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012. Susanne Helland Flatøy Markedssjef Digital Kvalitet Velkommen! RiskManager styringssystem for informasjonssikkerhet (ISMS) - 6.12.2012 Susanne Helland Flatøy Markedssjef Digital Kvalitet Agenda En prosessbasert tilnærming: Planlegge sikringstiltak Utføre

Detaljer

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Skytjenester. Forside og Databehandleravtale. Telenor Norge Skytjenester Forside og Databehandleravtale Telenor Norge FORSIDE TIL AVTALE Det bekreftes med dette at det i dag den er inngått avtale mellom Telenor Norge AS, Snarøyveien 30, 1331 Fornebu, orgnr. 976

Detaljer

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret

Handbok i informasjonstryggleik. Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Handbok i informasjonstryggleik Presentasjon 13.05.08 Geir Håvard Ellingseter, dokumentsenteret Kva med MR fylke? Ingen har noko å tjene på datainnbrot hos oss. Hærverk, sabotasje Vi har aldri hatt

Detaljer

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedlegg 6. Versjon 1 23.09.2015. Databehanlderavtale. Busstjenster Årnes Gardermoen 2016 Vedlegg 6 Versjon 1 23.09.2015 Databehanlderavtale Busstjenster Årnes Gardermoen 2016 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Detaljer

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 13/00937 Dato for kontroll: 17.10.2013 Foreløpig rapport: 13.01.2014 Endelig rapport: 13.08.2014 Endelig kontrollrapport Kontrollobjekt: Randaberg kommune, Harestad skole Sted: Randaberg Utarbeidet

Detaljer

Skjema for egen evaluering

Skjema for egen evaluering Underlagt taushetsplikt etter energiloven 9-3 jf bfe 6-2. Unntatt fra innsyn etter offentleglova 13. (når utfylt) Skjema for egen evaluering Beskyttelse av driftskontrollsystem Dato for gjennomgang: Ansvarlig

Detaljer

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010

Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Styresak 85/2010: Internrevisjonsrapporter Helse Nord RHF 2010 Møtedato: 14.-15.12.10 Møtested: Mo i Rana I oppdragsdokumentet 2010 heter det i pkt 8.1.2 Risikostyring og intern kontroll, at styret skal

Detaljer

Rapport informasjonssikkerhet Helgelandssykehuset 2015

Rapport informasjonssikkerhet Helgelandssykehuset 2015 Rapport informasjonssikkerhet Helgelandssykehuset 2015 1. Innledning I Oppdragsdokumentet 2015 punkt 4.4. Beredskap, er et av punktene: Området informasjonssikkerhet med tilhørende status på ROS [1] -analyser

Detaljer

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet

Helgelandssykehuset HF 2015 v0.2. Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Sikkerhetsrevisjon iflg. faktaark nr. 6 fra Norm for informasjonssikkerhet Nr Sjekkpunkt Faktaark /ikke ok Beskrivelse 7 Ikke ok Er gjennomført en rekke ROS-analyser vedr. FIKS. Det mangler i vesentlig

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.

Detaljer

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren

Databehandleravtale. mellom. Navn på kommunen eller fylkeskommunen. (behandlingsansvarlig) Navn på tjenesteleverandøren Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2 inngås følgende avtale mellom Navn på kommunen eller fylkeskommunen.. (behandlingsansvarlig)

Detaljer

Brukerinstruks Informasjonssikkerhet

Brukerinstruks Informasjonssikkerhet STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...

Detaljer

LÆRINGS- og GJENNOMFØRINGSPLAN

LÆRINGS- og GJENNOMFØRINGSPLAN LÆRINGS- og GJENNOMFØRINGSPLAN Fagkurs i informasjonssikkerhet og personvern for kommuner basert på Normen Planen er et støttedokument til Norm for informasjonssikkerhet Utgitt med støtte av: Versjon 1.1

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01435 Dato for kontroll: 13.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 06.03.2015 Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut

Detaljer

Endelig kontrollrapport

Endelig kontrollrapport Saksnummer: 14/01426 Dato for kontroll: 27.01.2015 Rapportdato: 07.04.2015 Endelig kontrollrapport Kontrollobjekt: Troms fylkeskommune Sted: Tromsø Utarbeidet av: Knut-Brede Kaspersen og Martha Eike 1

Detaljer

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1

Introduksjonskurs til Normen. Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS. www.normen.no 1 Introduksjonskurs til Normen Jan Henriksen Sekretariatet for Normen og INFOSEC Norge AS 1 Innhold 1. Litt om personvern og informasjonssikkerhet 2. Norm for informasjonssikkerhet 3. Risikovurdering 4.

Detaljer

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.

*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske. Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier

Detaljer

Foreløpig kontrollrapport

Foreløpig kontrollrapport Saksnummer: 14/00121 Dato for kontroll: 28.02.2014 Foreløpig rapport: 29.04.2014 Endelig rapport: 08.08.2014 Foreløpig kontrollrapport Kontrollobjekt: Nesodden kommune Sted: Heia barnehage Utarbeidet av:

Detaljer

Samarbeid om IKT- løsninger og elektronisk samhandling

Samarbeid om IKT- løsninger og elektronisk samhandling Tjenesteavtale 9 Samarbeid om IKT- løsninger og elektronisk samhandling Samarbeid om IKT-løsninger og bruk av felles plattform lokalt er av stor betydning for å få til god samhandling. Enkel, rask og pålitelig

Detaljer

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430.

MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE. Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430. MØTEPROTOKOLL KONTROLLUTVALGET I LUNNER KOMMUNE Onsdag 24. september 2014 holdt kontrollutvalget møte i Lunner rådhus fra kl. 0830 til kl. 1430. Som medlemmer møtte: Tor Ivar Grina (V), leder Kai Roar

Detaljer

Avvikshåndtering og egenkontroll

Avvikshåndtering og egenkontroll Avvikshåndtering og egenkontroll Side 1 av 5 Avvikshåndtering og egenkontroll NB! Innholdet i denne malen må tilpasses til egen virksomhet. Det kan medføre utfylling av ytterligere informasjon og/eller

Detaljer

Tjenester i skyen hva må vi tenke på?

Tjenester i skyen hva må vi tenke på? Tjenester i skyen hva må vi tenke på? Renate Thoreid, senioringeniør Datatilsynet, Tilsyn og sikkerhetsavdeling Side 1 Visjon: Datatilsynet i front for retten til selvbestemmelse, integritet og verdighet

Detaljer

Saksframlegg Referanse

Saksframlegg Referanse Saksframlegg Referanse Saksgang: Styre Møtedato Styret Helseforetakenes senter for pasientreiser ANS 23/01/2014 SAK NR 05-2014 Resultater av gjennomgang internkontroll 2. halvår 2013 og plan for gjennomgang

Detaljer

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015

PRAKTISK ARBEID MED RUTINER. Normkonferansen Scandic Ørnen, 15. oktober 2015 PRAKTISK ARBEID MED RUTINER Normkonferansen Scandic Ørnen, 15. oktober 2015 RÅDMANNSMØTET 09.10.2013 ER DERE KLAR FOR EN HEMMELIGHET? Arbeidsseminar Internkontrollsystem for informasjonssikkerhet MANDAG

Detaljer

Utviklingen av framtidas elektroniske forvaltning hvor går grensen

Utviklingen av framtidas elektroniske forvaltning hvor går grensen Utviklingen av framtidas elektroniske forvaltning hvor går grensen - eforvaltningskonferansen 15. februar 2012 Bjørn Erik Thon direktør Datatilsynet Tema - Kort om Datatilsynet - Automatiserte forvaltningsavgjørelser

Detaljer