Informasjonssikkerhet og personvern Forvaltningsrevisjon - Telemark fylkeskommune 2014 ::

Transkript

1 Informasjonssikkerhet og personvern Forvaltningsrevisjon - Telemark fylkeskommune 2014 ::

2 Innhold Sammendrag Innledning Kontrollutvalgets bestilling Bakgrunn Problemstillinger og revisjonskriterier Avgrensning Metode og kvalitetssikring Høring Planlegging og etablering av et informasjonssikkerhetssystem Fakta om internkontrollsystemets styrende del Fakta om internkontrollsystemets gjennomførende del Fakta om internkontrollsystemets kontrollerende del Revisors vurdering av fylkeskommunens internkontrollsystem på informasjonssikkerhetsområdet Informasjonssikkerhet i virksomhetene Fakta om rutiner og praksis for informasjonssikkerhet ved de tre virksomhetene Revisors vurdering av rutiner og praksis i virksomhetene Konklusjoner og anbefalinger Konklusjoner Anbefalinger Litteratur og kildereferanser Vedlegg 1: Fylkesrådmannens høringsuttalelse Vedlegg 2: Revisjonskriterier Vedlegg 3: Metode og kvalitetssikring Vedlegg 4: Definisjon av begreper Foto forside: Sufi Nawaz 1

3 Sammendrag Bestilling og bakgrunn Forvaltningsrevisjonen er bestilt av kontrollutvalget i Telemark fylkeskommune den , sak 19/14. Følgende problemstillinger er undersøkt: 1) Hva er status i fylkeskommunens arbeid med å planlegge og etablere et internkontrollsystem på informasjonssikkerhetsområdet? 2) I hvilken grad og på hvilken måte ivaretar de undersøkte virksomhetene informasjonssikkerhet knyttet til personopplysninger? Metode og gjennomføring Undersøkelsen er gjennomført ved gjennomgang av ulike typer dokumenter fylkeskommunens utkast til internkontrolldokument av , rutiner fra virksomhetene, dokumentasjon av praksis med videre og ved intervjuer. Fylkeskommunens internkontrolldokument er grunnlaget for den første problemstillingen. Intervjuene med de tre virksomhetene Personal- og organisasjonsavdelingen, Tannklinikken Seljord og Porsgrunn videregående skole deres rutiner og dokumentasjons av praksis danner grunnlaget for den andre problemstillingen. I tillegg ble det gjennomført intervju med lederen for IT- teamet. Valg av metode og tiltak for kvalitetssikring er omtalt nærmere i vedlegg 3 til rapporten. Hva er status i fylkeskommunens arbeid med å planlegge og etablere et internkontrollsystem på informasjonssikkerhetsområdet? Undersøkelsen viser at det internkontrollsystemet for informasjonssikkerhet som høsten 2014 var under utarbeidelse kan tjene som et godt utgangspunkt for virksomhetene i Telemark fylkeskommune. I og med at systemet høsten 2014 ennå ikke var iverksatt, er det i denne undersøkelsen ikke mulig å vurdere hvordan ledelsen ivaretar sitt ansvar for igangsetting, resultatoppfølging og prioritet av området. En god iverksettingsprosess vil være svært viktig for faktisk å lykkes i dette arbeidet. Det har i gjennomgangen av internkontrolldokumentet framkommet enkelte svakheter. 2

4 I hvilken grad og på hvilken måte ivaretar de undersøkte virksomhetene informasjonssikkerhet knyttet til personopplysninger? Vi har funnet at de tre utvalgte virksomhetene, Personal- og organisasjonsavdelingen, Tannklinikken Seljord og Porsgrunn videregående skole hadde mye oppmerksomhet om informasjonssikkerhet i sitt daglige arbeid. Det var utarbeidet et styringsdokument for informasjonssikkerhet for tannhelsetjenesten i Telemark. Personal- og organisasjonsavdelingen og Porsgrunn videregående skole hadde i liten grad skriftlige rutiner på området. Undersøkelsen viste at det også var noen mangler og svakheter. Anbefalinger For at dette arbeidet skal lykkes i fortsettelsen anbefaler vi at fylkesrådmannen sikrer at systemet gis tilstrekkelig prioritet, både under iverksettingen og senere til vedlikehold og overvåking. For øvrig anbefaler vi at fylkeskommunen: Operasjonaliserer sikkerhetsmålene, slik at det blir mulig å vurdere resultatoppnåelse. Vurderer organiseringen med tanke på delegasjon av behandlingsansvaret, gjennomføring av risikovurderinger og gjennomføring av sikkerhetsrevisjoner. Vurderer om innholdet i sikkerhetsrevisjonene er egnet til å avdekke om sikkerhetsmål og sikkerhetsstrategi faktisk dekker virksomhetens behov. Sørger for at sikkerhetsrevisjoner gjennomføres årlig og inneholder en vurdering av fylkeskommunens sikkerhetsorganisering og sikkerhetssjekk av leverandør. Sørger for at det er enkelt og tilgjengelig for alle ansatte å melde om avvik innen informasjonssikkerheten. Sørger for at det inngås gode databehandleravtaler som ivaretar fylkeskommunens interesser. Sørger for at virksomhetene har skriftlige rutiner og dokumentasjon. Sørger for at virksomhetene har oversikt over hvor personopplysninger lagres og at de personopplysningene som ikke skal oppbevares etter arkivloven slettes på forsvarlig måte. Sikrer at de registrerte blir informert om sine personvernrettigheter. 3

5 1 Innledning 1.1 Kontrollutvalgets bestilling Forvaltningsrevisjonen er bestilt av kontrollutvalget i Telemark fylkeskommune den , sak 19/14. Bakgrunnen for forvaltningsrevisjonen er overordnet analyse, hvor det framgår at det kan være risiko knyttet til håndteringen av informasjonssikkerhet. Hjemmel for forvaltningsrevisjon er gitt i kommunelovens 77 nr. 4, jamfør forskrift om kontrollutvalg kapittel 5 og forskrift om revisjon kapitel Bakgrunn Informasjonssikkerhet omfatter alle tiltak som sikrer konfidensialitet, integritet og tilgjengelighet til informasjon og IKT- systemer, det vil si alt som sørger for å gi korrekt informasjon til de rette menneskene til rett tid. Alle offentlige virksomheter er etter 15 i eforvaltningsforskriften pålagt å ha internkontroll på informasjonssikkerhetsområdet, og det gis mye informasjon om temaet. Likevel har mange virksomheter fortsatt en del å jobbe med på feltet. En kartlegging Sintef gjorde innen statsforvaltningen, viste at etater, departementer og direktorater manglet en felles forståelse av hva risiko er. De visste heller ikke hvilken risiko som var akseptabel fordi det ikke ble gjennomført gode risikoanalyser. Det framkom videre at sikkerhetsarbeid ikke var integrert i den daglige jobben som et middel til å nå virksomhetens mål. Det var mangel på kompetanse på området, og spørsmål knyttet til sikkerhet kom ofte for sent inn i prosessen med å utvikle IT- systemer 1. En annen undersøkelse, gjennomført av Datatilsynet i en rekke skoler og barnehager, viste at det sto dårlig til når det gjaldt personvern for barnehagebarn og elever 2. Å styrke informasjonssikkerheten er viktig for å sikre at informasjon og IKT- systemer er tilgjengelige for å kunne utføre daglig drift. Det må samtidig være mulig å 1 Faktaark Sintef IKT Undersøkelsen ble gjort på vegne av Difi, 2 Personvern i skole og barnehage, samlerapport juni 2014, 4

6 hemmeligholde informasjon og kunnskap som man ønsker skal være konfidensiell. I tillegg må man kunne stole på at informasjonen er korrekt og pålitelig. Informasjonssikkerhet bidrar til å skape tillit til samfunnets og virksomhetenes prosesser og infrastruktur. Informasjonssikkerhet er et komplekst og sektorovergripende område som spenner over teknologi, politikk, lovverk og retningslinjer, holdninger og kultur. IKT inngår nå i alle viktige samfunnsområder og sektorer. Informasjonssikkerhet har derfor blitt en strategisk utfordring. Konsekvensene av mange av dagens trusler knyttet til digitale løsninger, kan kun reduseres ved menneskers kunnskap og bevisste holdninger; en god sikkerhetskultur. Begreper er nærmere definert i vedlegg Problemstillinger og revisjonskriterier Rapporten handler om følgende problemstillinger: 1) Hva er status i fylkeskommunens arbeid med å planlegge og etablere et internkontrollsystem på informasjonssikkerhetsområdet? 2) I hvilken grad og på hvilken måte ivaretar de undersøkte virksomhetene informasjonssikkerhet knyttet til personopplysninger? Revisjonskriteriene 3 i denne forvaltningsrevisjonen er utledet fra personopplysningsloven, personopplysningsforskriften, eforvaltningsforskriften, helsepersonelloven, anerkjente standarder på området, veiledninger fra Norsis, Difi og Datatilsynet. Kriteriene er angitt i fet tekst under hver problemstilling nedenfor, og er nærmere omtalt i vedlegg 2 til rapporten. Et internkontrollsystem deles gjerne opp i en styrende del, en gjennomførende del og en kontrollerende del. Revisjonskriteriene og fakta knyttet til problemstilling 1 følger denne strukturen. For problemstilling 2 er det praksis i de tre utvalgte virksomhetene som undersøkes, og her følges denne strukturen så langt det passer. Problemstilling 1 behandles i kapittel 2 og problemstilling 2 behandles i kapittel 3. Konklusjoner og anbefalinger følger i kapittel 4. 3 Revisjonskriterier er en samlebetegnelse på de regler og normer som gjelder innenfor det området som skal undersøkes. Revisjonskriteriene er basis for de analyser og vurderinger som revisjonen foretar, konklusjonene som trekkes, og de er et viktig grunnlag for å kunne dokumentere samsvar, avvik eller svakheter. 5

7 1.4 Avgrensning Denne forvaltningsrevisjonen tar for seg planer og dokumentasjon på informasjonssikkerhetsområdet for Telemark fylkeskommune, samt praksis på området i tre utvalgte virksomheter. Undersøkelsen er i all hovedsak avgrenset til planer og praksis i Undersøkelsen er ikke en IT- revisjon. Det er ikke gjort tester av om IT- systemene er sikre. 1.5 Metode og kvalitetssikring Undersøkelsen er gjennomført ved gjennomgang av ulike typer dokumenter fylkeskommunens utkast til internkontrolldokument, rutiner fra virksomhetene, dokumentasjon på praksis og ved intervjuer. Det ble etter gjennomført oppstartsmøte med fylkesrådmannen og stabssjef, gjennomført intervjuer med Personal- og organisasjonsavdelingen, Tannklinikken Seljord, Porsgrunn videregående skole og leder for Team IT. Undersøkelsen er gjennomført av ekstern konsulent, Annette Gohn- Hellum. Oppdragsansvarlig revisor er Kirsti Torbjørnson. Valg av metode og tiltak for kvalitetssikring er omtalt nærmere i vedlegg 3 til rapporten. 1.6 Høring Rapporten ble sendt på høring Det ble i høringen påpekt enkelte mindre forhold, som er rettet opp i endelig rapport. Fylkesrådmannens høringsuttalelse ligger i vedlegg 1. 6

8 2 Planlegging og etablering av et informasjonssikkerhetssystem Problemstillingen som undersøkes i dette kapitlet er som følger: Hva er status i fylkeskommunens arbeid med å planlegge og etablere et internkontrollsystem på informasjonssikkerhetsområdet? Offentlige virksomheter er gjennom eforvaltningsforskriften 15 pålagt å ha internkontroll på informasjonssikkerhetsområdet. Internkontroll og informasjonssikkerhet er et ledelsesansvar. Dette kapitlet vil ta for seg overordnet planlegging og skriftlige rutiner når det gjelder planlegging, gjennomføring av planene og kontroll av om planene virker etter hensikten. Telemark fylkeskommune har igangsatt et arbeid med å planlegge et internkontrollsystem på informasjonssikkerhetsområdet. Dette systemet var pr oktober 2014 ikke iverksatt i organisasjonen. Fylkeskommunens internkontrolldokument Personvern og informasjonssikkerhet i Telemark fylkeskommune, utkast pr ligger til grunn for besvarelsen av problemstilling 1. Status i dette arbeidet beskrives og innholdet er revidert så langt det foreligger. Rapporten og anbefalingene er presentert med det formål å kunne gi innspill til administrasjonen i det videre arbeidet. Siden fylkeskommunen sentralt først nå utarbeider et system for internkontroll på informasjonssikkerhetsområdet, melder det seg et spørsmål om ledelsen i de enkelte virksomheter selv har utarbeidet internkontrollsystem for seg. Spørsmålet ble stilt i intervjuene med de tre utvalgte virksomhetene; Personal- og organisasjonsavdelingen, Tannklinikken Seljord og Porsgrunn videregående skole. Av disse tre var det kun Tannklinikken Seljord som opplyste å ha utviklet styringsdokument for informasjonssikkerhet, datert Dette dokumentet var felles for tannhelsetjenestene i Telemark, Buskerud og Vestfold. Revisjonskriteriene og fakta knyttet til problemstilling 1 følger strukturen til internkontrollsystemet, med en styrende del, en gjennomførende del og en kontrollerende del. 7

9 2.1 Fakta om internkontrollsystemets styrende del Styrende del i internkontrollen skal ifølge Datatilsynet 4 gi en beskrivelse av systemet, som inneholder policy og målsetning, identifiserte krav og plikter, intern organisering, ansvar og myndighet. Den styrende dokumentasjonen er overordnet i sin form og er spesielt ledelsesorientert. Kilder til revisjonskriterier for styrende del er personopplysningsloven, personopplysningsforskriften, eforvaltningsforskriften, standard punktene 5 (ledelse) og A5 (informasjonssikkerhetspolicy), 6 (planlegging, herunder risikovurdering) og A6 (organisering av informasjonssikkerheten), 7 (støtte), A7 (personellsikkerhet), samt Datatilsynets veileder om internkontroll og informasjonssikkerhet. De enkelte revisjonskriteriene står i fet tekst Sikkerhetspolicy Den øverste ledelsen har ansvar for å utarbeide en sikkerhetspolicy. En sikkerhetspolicy gir ikke detaljerte beskrivelser av sikkerhetstiltak og skal være på overordnet nivå. Det skal ut fra sikkerhetspolicyen være mulig å lage mer detaljerte retningslinjer for informasjonssikkerhet i den enkelte virksomhet. Det skal være utarbeidet en sikkerhetspolicy Fylkeskommunen har i sitt internkontrolldokument utarbeidet en sikkerhetspolicy. Dokumentet, og følgelig sikkerhetspolicyen, er ikke vedtatt pr oktober Sikkerhetspolicyen skal være hensiktsmessig sett opp mot organisasjonens formål. I følge årsrapporten for 2013 er fylkeskommunens formelle samfunnsoppdrag å legge til rette for et funksjonsdyktig fylkeskommunalt folkestyre, med en rasjonell og effektiv forvaltning av de fylkeskommunale fellesinteresser, innenfor rammen av det nasjonale fellesskap og med sikte på en bærekraftig utvikling (Årsrapport 2013:4). 4 internkontroll/internkontroll_informasjonssikkerhet/etablering- internkontroll/#gjennomførende 8

10 Visjonen i sikkerhetspolicyen er Trygg og sikker behandling av taushetsbelagt informasjon og personopplysninger i Telemark fylkeskommune (Personvern og informasjonssikkerhet i Telemark fylkeskommune:7). Sikkerhetspolicyen skal inneholde en forpliktelse til en tilfredsstillende oppfyllelse av informasjonssikkerhetskravene, en forpliktelse til kontinuerlige forbedringer og det skal være beskrevet hvordan policyen skal følges opp. Under punktet om strategi på side 7 i internkontrolldokumentet har fylkeskommunen angitt i 8 punkter hva som vektlegges for å nå sikkerhetsmålene: sikkerhetsorganisasjon sikkerhetsrevisjon sikker administrasjon av informasjon personellsikkerhet fysisk sikkerhet systemsikkerhet tilgangskontroll avviksbehandling Sikkerhetsmål Sikkerhetspolicyen skal inneholde sikkerhetsmål. Om den ikke gjør det må den bidra til rammeverk for å fastsette slike mål. Sikkerhetsmålet skal, om kun fastsatt på et overordnet nivå, beskrive formålet med bruken av informasjonsteknologi og angi sikkerhetsbehov med hensyn til konfidensialitet, tilgjengelighet og integritet. Utkast til sikkerhetspolicy av oktober 2014 inneholder følgende sikkerhetsmål (side 7): Fylkeskommunens målsetting for behandling av personopplysninger er å sikre den enkeltes personvern. Fylkeskommunen har videre som mål å sikre at kvaliteten på taushetsbelagt informasjon og personopplysninger er gyldige, nøyaktige og fullstendige (integritet). at kun autoriserte medarbeidere har tilgang til informasjon og ressurser (konfidensialitet). at medarbeidere har tilgang til korrekte ressurser, opplysninger og informasjon til rett tid og i riktig tidsomfang (tilgjengelighet). 9

11 Målene skal beskrive hva informasjonsteknologien skal brukes til. Målene beskriver ikke hva informasjonsteknologien skal brukes til. Det skal være en sammenheng mellom informasjonssikkerhetsmålene og øvrige mål. I og med at sikkerhetsmålene er på et så vidt overordnet nivå, lar ikke dette seg besvare. Målene skal være målbare (hvis mulig). Målene er ikke målbare. Målene skal være kommunisert ut. Fylkeskommunens plan og dermed også målene er ikke vedtatt pr oktober I de planlagte sikkerhetsrevisjonene er det inkludert et spørsmål om målene er kjent for de ansatte, se vedlegg 1 i fylkeskommunens internkontrolldokument Sikkerhetsstrategi Valg og prioriteringer skal fastsettes i en sikkerhetsstrategi. Strategien skal beskrive gjennomføring av sikkerhetsarbeidet og hvilke virkemidler som velges for å nå målene. Strategien skal inneholde noe om ledelsens beslutninger om organisering og overordnet oppgavefordeling. Fylkeskommunen har i internkontrolldokumentet side 7 beskrevet sin strategi for informasjonssikkerhetsarbeidet. Det ramses opp 8 punkter, se over i punkt 2.1.1, som angir hva fylkeskommunens rutiner for informasjonssikkerhet er basert på. Forholdet mellom ledelse, driftspersonell, og den enkelte bruker må være tydelig avklart i sikkerhetsstrategien. Forholdet mellom ledelse, driftspersonell og den enkelte bruker er ikke omtalt i sikkerhetsstrategien. Strategien skal inneholde overordnede føringer for bruk av informasjonssystemet. I utkastet til fylkeskommunens internkontrolldokument, framgår det innledningsvis i strategipunktet at det skal etableres sikkerhetstiltak for å hindre at informasjon og personopplysninger kompromitteres. Det skal være lav sannsynlighet for at det inntreffer hendelser med store konsekvenser for enkeltmenneskers personvern, mens 10

12 det i tilfeller med små konsekvenser aksepteres høyere sannsynlighet for at hendelser inntreffer. Under de 8 punktene nevnt over beskrives ulike føringer til bruk av informasjonssystemet. Som eksempler kan nevnes at risikovurderinger skal gjennomføres for behandling av personopplysninger, det skal være kontroll med tilgang til arbeidsplassen og tilretteleggingen av denne og det skal være soneinndeling av informasjonssystemet. Det skal også framgå eventuell bruk av eksterne samarbeidspartnere, for eksempel databehandlere og sikkerhetsleverandører, overordnede krav til sikkerhetsarkitektur (flere nivå i nettverk, overvåkingssystem med mer). Det framgår av strategien at det skal stilles samme krav til innleid personell som til fast ansatte når det gjelder å kjenne sitt ansvar for fortrolighet, konfidensialitet, riktig bruk av virksomhetens utstyr og systemer. Utover ovennevnte framgår ikke hvem som er eksterne samarbeidspartnere, for eksempel databehandlere, heller ikke overordnede krav til sikkerhetsarkitektur. Fylkeskommunen/den enkelte virksomhet må oppbevare dokumentert informasjon om sikkerhetsmålene. Virksomheten skal ved planlegging av hvordan å nå målene fastsette hva som vil bli gjort, hva som kreves av ressurser, hvem som er ansvarlig, når det vil være fullført og hvordan resultatene vil bli evaluert. Det framgår ikke av fylkeskommunens internkontrolldokument hva som fylkeskommunen antar vil kreves av ressurser, når det vil være fullført eller hvordan resultatene vil bli evaluert, utover at det vil bli gjennomført årlige sikkerhetsrevisjoner og at det er muligheter for stikkprøver Sikkerhetsorganisasjon Det skal etableres og dokumenteres en sikkerhetsorganisasjon hvor roller og ansvar for informasjonssikkerhet er klart definert. Denne må ha sammenheng med sikkerhetsstrategien. Beskrivelsen av sikkerhetsorganisasjonen skal inneholde noe om ansvar og myndighet for drift av informasjonssystemet (driftsledelse) og for oppfølging av sikkerhetsarbeid (sikkerhetsledelse). Det framgår under punktet Sikkerhetsorganisasjon (side 7, avsnittet om Strategi) at gjennom et dokumentert og entydig mandat skal sikkerhetsorganisasjonen være integrert med øvrig organisasjon. 11

13 Funksjoner og tilhørende ansvar er videre beskrevet. Eksempelvis er fylkesrådmannen definert som øverste ansvarlige for informasjonssikkerheten i fylkeskommunen. Den sikkerhetsansvarlige for fylkeskommunen, definert som én person, er sentral for sikkerhetsarbeidet i fylkeskommunen. Det framgår av internkontrolldokumentet side 9 at vedkommende har ansvaret gjennomføring av årlige sikkerhetsrevisjoner, og videre at vedkommende har ansvar for å gi veiledning, informasjon og opplæring til øvrige ansatte, at de skal forberede og følge opp ledelsens årlige gjennomgang, at de skal ha kontroll med risikovurderinger og avviksbehandling, de har ansvar for dokumentasjon av rutiner og skal sørge for avviksrapportering. De 14 lokale sikkerhetsansvarlige er kontaktpersoner for sin virksomhet, skal drive holdningsskapende arbeid, bidra til gode rutiner og praksis og sørge for at brukerne gjøres kjent med endringer i rutiner for informasjonssikkerhet. Andre funksjoner med ansvar for informasjonssikkerhet er IT- leder som er tillagt det operative driftsansvaret, personal- /organisasjonssjef som fylkesrådmannens representant, virksomhetslederne, ansatte, konsulenter og leverandører og elever og folkevalgte. Et annet sted i internkontrolldokumentet i vedlegg 2 bokstav D om ansvar framgår det at fylkeskommunens øverste ledelse er behandlingsansvarlig og at det daglige ansvaret er delegert til systemansvarlige. Datatilsynet uttaler følgende om delegasjon av behandlingsansvaret på sin hjemmeside: I praksis vil det være virksomhetens øverste administrative leder som er behandlingsansvarlig. Det er naturlig at gjennomføringen delegeres til en med daglig ansvar. Uansett sitter den øverste ledelsen fortsatt med ansvaret. På side 12 i dokumentet er forholdet mellom systemeier og systemansvarlig beskrevet. Her går det fram at systemeier som administrativt ansvarlig for det fagområdet som systemet skal betjene utpeker systemansvarlig. Systemansvarlig har det løpende ansvar for forvaltning og utvikling av systemet, herunder den daglige oppfølging og kontroll av sikkerhetsmessige oppgaver. Beskrivelsen av sikkerhetsorganisasjonen skal inneholde organisasjonskart som viser alle sikkerhetsfunksjoner og deres plassering i forhold til ledelse og de ansatte i virksomheten. Beskrivelsen av sikkerhetsorganisasjonen inneholder ikke organisasjonskart som viser alle sikkerhetsfunksjoner og deres plassering i forhold til ledelse og de ansatte i fylkeskommunen. Som nevnt over er sikkerhetsorganisasjonen beskrevet i tekst. 12

14 2.1.5 Informasjon om og opplæring i informasjonssikkerhetssystemet Policyen skal inneholde beskrivelser av rutiner om: hvordan ansatte skal gjøres kjent med policyen hvordan nyansatte skal få innføring i policyen opplæring i informasjonssikkerhetssystemet Det framgår av internkontrolldokumentet på side 6 at ledelsen har ansvar for at opplæring blir gitt. Det framgår videre på side 10 at sikkerhetsansvarlig for fylkeskommunen (en person) har ansvar for å veilede om informasjonssikkerhet, være kontaktperson for andre med særlig sikkerhetsansvar, gi informasjon og opplæring om informasjonssikkerhet til virksomhetene. På side 12 står det at systemeier har ansvaret for at det blir gitt opplæring i fagsystemene. I vedlegg 6 om anskaffelser, framgår at leverandøren har ansvar for opplæring av både teknisk, support og fagpersonell. Lokale sikkerhetsansvarlig (14 personer, én for hver av de 12 videregående skolene, én for tannhelse og én for fylkeshuset) har ansvar for å sørge for at nyansatte gis innføring i sikkerhetsregler og rutiner og sørge for at brukerne gjøres kjent med endringer i rutiner og eventuelle nye rutiner. Det framgår av internkontrolldokumentet, side 16 under punkt 2 at ansatte skal gis opplæring før de får tilgang til systemene. På side 14 angis hva opplæringen skal bestå av: sikkerhetsinformasjon (i Kvalitetslosen 5 ) taushetserklæring skal underskrives av alle nytilsatte nytilsatte skal gis en innføring i informasjonssikkerhet (e- læring i Junglemap 6 ) nytilsatte skal gis nødvendig opplæring i aktuelle systemer (fagkurs/junglemap) informasjon om rutiner for informasjonssikkerhet skal innarbeides i virksomhetens introduksjonsprogram for nytilsatte det skal årlig gjennomføres tiltak for å skape bevissthet om informasjonssikkerhet (blant annet Junglemap). I internkontrolldokumentet side 23 framgår at det også skal gis opplæring i bruk av avviksmodulen i Kvalitetslosen, samt informasjon om sikkerhetsstrategien og de 5 Kvalitetslosen er et kvalitetssystem bygget opp med fire ulike moduler for virksomhetsstyring, risikoanalyse, dokumenthåndtering og avvikshåndtering ( Telemark fylkeskommune har tatt i bruk tre av fire moduler, hvor modulen Virkomhetsstyring ikke er tatt i bruk. 6 Junglemap er et e- læringsprogram som består av ulike moduler den enkelte kan jobbe med på gene pc, som for eksempel microsoft office- programmer, informasjonssikkerhet, ulike beste praksisområder ( 13

15 rutiner og retningslinjer som gjelder for informasjonssikkerhet i Telemark fylkeskommune og at dette er ansvarlig leders ansvar. På undersøkelsestidspunktet var i følge IT- sjef ikke Junglemap iverksatt på informasjonssikkerhetsområdet, men dette opplæringssystemet var etter hans oppfatning bra og burde kunne brukes overfor alle ansatte. IT- sjefen hadde videre en del synspunkter om Kvalitetslosen, både at Team IT hadde levert dokumentasjon til ledelsen på at systemet har noen sikkerhetshuller og at systemet har et vanskelig brukergrensesnitt, et program det er vanskelig å orientere seg i. Personal- og organisasjonsavdelingen sa om systemet at den enkelte ansatte selv må søke opp det den er interessert i, og at for eksempel informasjon til nyansatte således kan bli noe utilgjengelig. Policyen skal være tilgjengelig som dokumentert informasjon, skal være kommunisert ut i organisasjonen og være tilgjengelig for interessenter. Policyen for fylkeskommunen var pr oktober 2014 ikke iverksatt. Ledelsen har et særskilt ansvar for at systemet gis tilstrekkelig prioritet, at det både igangsettes, vedlikeholdes og overvåkes. Ledelsen har ansvar for at informasjonssikkerhetssystemet når sine planlagte/intenderte mål. Ledelsen skal sørge for at informasjonssikkerhetspolicyen og informasjonssikkerhetsmålene blir etablert og at de er i tråd med organisasjonens strategiske retning, samt at kravene i informasjonssikkerhetssystemet integreres i organisasjonens prosesser. Ledelsen skal videre sørge for at de ressurser som trengs til styring av informasjonssikkerhetssystemet gjøres tilgjengelige. Ledelsen skal kommunisere ut betydningen av effektivitet i styringen av informasjonssikkerhetssystemet og av at de ansatte tilslutter seg kravene systemet, herunder lede og støtte ansatte til å bidra til et effektivt system. Ledelsen må kontinuerlig støtte forbedring. Prosessen er i fylkeskommunen i oppstartsfasen og dette lar seg derfor ikke undersøke Jevnlige gjennomganger av sikkerhetsmålene og sikkerhetsstrategien Policyen skal legge opp til jevnlige gjennomganger av sikkerhetsmålene og sikkerhetsstrategien for å sjekke om de dekker fylkeskommunens behov, for eksempel årlig. Slike gjennomganger bør omfatte en vurdering av organisering, sikkerhetstiltak, bruk av kommunikasjonspartner og sikkerhet hos leverandører. Fylkeskommunens sikkerhetsansvarlig skal sørge for at rollene i sikkerhetsorganisasjonen er besatt på hensiktsmessig måte (fylkeskommunens internkontrolldokument side 10). Det er lagt opp til årlige sikkerhetsrevisjoner (side 14

16 10). I vedlegg 1 (side 26), Sjekkliste for virksomhetens sikkerhetsrevisjon, framgår temaene for revisjonen: om kjennskap og bevissthet om informasjonssikkerheten om sikkerhetsmål, sikkerhetsstrategi og fylkeskommunens risikoprofil er kjent i virksomheten om de ansatte har fått opplæring i og har kjennskap til reglene om informasjonssikkerhet om rutinene er kjent og om de følges om fysisk sikkerhet er ivaretatt om bærbart utstyr er sikret om de ansattes bevissthet om behandling og lagring av sensitive personopplysninger om de ansatte er seg bevisste at de ikke skal skrive ned eller dele passord med andre Risikovurdering En viktig del av det å utvikle et informasjonssikkerhetssystem er å analysere potensielle risikoer. Første del av dette arbeidet er å utarbeide en detaljert beskrivelse av hva som vurderes som akseptabelt risikonivå. Dernest skal det reelle risikonivået fastsettes gjennom risikoanalysen. Dersom det er avvik mellom akseptert nivå og reelt nivå må risikoreduserende tiltak vurderes. En risikovurdering har til hensikt å undersøke hvor stor risiko det er ved bruk av informasjonssystemet. Risiko er sannsynligheten for at det inntreffer en hendelse som kan forårsake brudd på konfidensialitet, tilgjengelighet eller integritet, og vurdering av konsekvensen av en slik hendelse. I risikoanalysen skal ulike scenarioer og konsekvenser av disse bli vurdert. Toppledelsen gir føringer for risikohåndteringen, og for hvor stor risiko virksomheten er villig til å ta. Risikoeiere har ansvaret for å gjennomføre risikovurdering. Risikoeiere er som oftest ledere i linjen. 15

17 Detaljert beskrivelse av akseptabelt risikonivå skal være fastsatt I fylkeskommunens internkontrolldokument, vedlegg 2 (side 27) inngår en grønn/gul/rød matrise. Ved å kombinere ulike sannsynligheter med ulike konsekvenser, gir matrisen et bilde av risikonivå. Det framgår at grønn og gul risiko aksepteres, mens rød ikke aksepteres. I en tabell på side er det angitt ulike nivåer av beskyttelsesgrader og noe om mulige konsekvenser. Utover dette foreligger det ikke detaljert beskrivelse av akseptabelt risikonivå for Telemark fylkeskommune. Beskrivelsen av akseptabelt risikonivå skal inneholde: personopplysninger og behandlinger som berøres hendelser med betydning for personvernet akseptable nivåer for sannsynlighet og konsekvens angivelse av prioriteringer mellom ulike sikkerhetsbehov overordnet beskrivelse av risikoreduserende tiltak I vedlegg 2 (side 28-29) i internkontrolldokumentet til fylkeskommunen er det under beskrivelsen av beskyttelsesgrader gitt en del eksempler på type opplysninger som berøres, for eksempel personopplysninger, strategier, adgangskoder eller sensitive opplysninger. Det er videre beskrevet noen hendelser med betydning for personvernet, for eksempel at informasjon om Telemark fylkeskommune med middels beskyttelsesgrad blir lest, endret eller slettet av uvedkommende. I tabellen framgår noe om økonomisk konsekvens på hvert nivå og konsekvens for fylkeskommunens omdømme. Sannsynligheter er ikke beskrevet. Det er angitt at risiko opp til «gult» nivå er akseptert. I og med at sannsynlighet og konsekvens ikke er vurdert i sammenheng, er det ingen beskrivelse av overordnet, samlet akseptnivå. Det er ikke angitt prioriteringer mellom ulike sikkerhetsbehov. Risikoreduserende tiltak er heller ikke beskrevet. Det skal være gjennomført risikovurdering, og følgende bør inngå i denne: hvilke personopplysninger som behandles. hvilke sikkerhetskrav som stilles til behandlingen av disse personopplysningene vurdering av sannsynligheten for at uønskede hendelser skal inntreffe identifisering av konsekvensen av de uønskede hendelsene vurdering av avdekket risiko for sikkerhetsbrudd opp mot aksepterbar risiko håndtering av ikke- aksepterbar risiko Det er ikke gjort en risikovurdering i denne fasen av prosessen og på dette nivået for hele fylkeskommunen. Det er etablert en risikostyringsgruppe for fylkeskommunen, og informasjonssikkerhet er ett av fem områder som risikostyringsgruppen vil ha 16

18 hovedfokus på (internt notat av , side 3). Det framgår av det interne notatet at fylkeskommunen på det tidspunktet var i oppstarten av dette arbeidet. Det forelå pr oktober 2014 ikke noe ytterligere beskrivelse eller dokumentasjon om arbeidet. Det vektlegges i notatet at fylkeskommunen bør gjennomføre risikoanalyse for å kunne ha kunnskap om tiltak som kan redusere risiko. Kvalitetslosen trekkes fram som et viktig verktøy i denne forbindelse. Det framgår videre at risikostyring anses som et viktig verktøy for ledelsens arbeid med å realisere fylkeskommunens mål, politiske vedtak, strategier, satsninger og utfordringer (notatet, side 1). Det framgår videre av notatet at risikovurderingen bør være både på operativt og strategisk nivå (side 1). Under metode, side 4 i notatet, framgår blant annet at det er resultatansvarlig leder på ulike nivåer som skal vurdere hvilke områder som skal risikovurderes, og som eier risikovurderingen, men at risikovurderingen skal gjennomføres på lavest mulig nivå. Det skal utarbeides en felles metode for hele fylkeskommunen. Metoden skal benyttes av alle, og skal gjøre det mulig å vurdere risiko på tvers av virksomhetsområder. Det framgår av fylkeskommunens internkontrolldokument (side 13) at risiko skal vurderes av den enkelte systemansvarlige. Rutinen for risikovurderinger er beskrevet i vedlegg 2, side 27. Den skal være et verktøy for systemansvarliges vurdering av risiko opp mot fylkeskommunens sikkerhetsmål (side 13). Det framgår at hensikten med denne rutinen er å sikre at fylkeskommunen ikke behandler personopplysninger uten å ha analysert risikoen og eventuelt satt i verk relevante tiltak. Det framgår i vedlegg 2, bokstav A hva som skal inngå i en risikovurdering det er satt inn ulike matriser hvor konsekvenser og sannsynligheter skal fylles inn, og samlet skal det gi et risikobilde for virksomheten. Sannsynlighet og konsekvens settes opp mot hverandre i en grønn, gul og rød matrise (fargene angir alvorlighet) og det framgår at feltene representerer overordnede akseptkriterier. Fylkeskommunen sier i vedlegg 2, bokstav A, i internkontrolldokumentet at akseptkriteriene framkommer av sannsynlighetsvurderingene opp mot konsekvensvurderingene som skal gjøres av den enkelte systemansvarlige i den enkelte virksomhet. Som nevnt over bør toppledelsen gi føringer for risikohåndtering og fastsette kriteriene for hva som er akseptabel risiko i virksomheten. Videre skal risikoeier ha ansvaret for risikovurderingen og dette er normalt er linjeleder. Flest mulig ansatte bør involveres i arbeidet. 17

19 Det skal gjennomføres ny risikovurdering ved endringer som har betydning for informasjonssikkerheten. Det bør ha vært gjennomført nye risikovurderinger i løpet av de siste fem år. Det ble i møte med fylkesrådmannen uttalt at det er gjennomført risiko- og sårbarhetsvurderinger på noen fagområder. Dette ble omtalt som sårbarhetsprosjektet. Rapport fra prosjektet datert ble behandlet av lederteamet i fylkeskommunen. Ved å utarbeide internkontroll på informasjonssikkerhetsområdet for hele fylkeskommunen, skal det nå bli en større systematikk på området Konfigurasjonsbeskrivelser og - endringer Fylkeskommunen må ha oversikt over alt utstyr og hvilke programmer som benyttes i behandlingen av helse- og personopplysninger. Dette innebærer blant annet at det skal foreligge et konfigurasjonskart som viser infrastruktur, nettverkskomponenter, datalagringsenheter, brukere i fylkeskommunens nett og eksterne tilknytninger. Det må framgå tydelig hvilke enheter som er lagringsmedium for personopplysninger. Informasjonssystemet skal være konfigurert slik at tilfredsstillende informasjonssikkerhet oppnås. Det bør foreligge et konfigurasjonskart. Det vil bli undersøkt om fylkeskommunen i sin konfigurasjonsbeskrivelse/- kart dokumenterer følgende: sikkerhetsbarrierer (for eksempel brannmur) krypteringspolicy, herunder bruk, beskyttelse og levetid for krypteringsnøkler (for eksempel ved elektronisk overføring av helse- og personopplysninger som nevnt over) hvor eventuelle servere er plassert plassering av arbeidsstasjoner og skrivere internettilknytning Driftsdokumentet for fylkeskommunen ble oversendt i forbindelse med undersøkelsen. Fylkeskommunens system er i stor grad beskrevet i dette dokumentet. Det foreligger ikke en komplett konfigurasjonsbeskrivelse i form av et kart som viser infrastruktur, nettverkskomponenter, datalagringsenheter, brukere i fylkeskommunens nett, funksjonen til de ulike enhetene, eksterne tilknytninger, samt hvilke enheter som er lagringsmedium for personopplysninger. Det framgår av fylkeskommunens internkontrolldokument at det skal utarbeides et konfigurasjonskart, og at sikkerhetsansvarlig IT er ansvarlig for dette. 18

20 Konfigurasjonsendringer, det vil si endringer i utstyr og/eller programvare, skal ikke settes i drift før diverse tester og vurderinger er gjennomført. Følgende rutiner bør være på plass: risikovurdering som viser at nivå for akseptabel risiko oppfylles test som sikrer at forventede funksjoner er ivaretatt implementering som sikrer mot uforutsette hendelser dokumentasjon på ny konfigurasjon Det er rutinebeskrivelser på dette knyttet til IT- anskaffelser, se vedlegg 6 i fylkeskommunens internkontrolldokument. Her er testing og dokumentasjon omhandlet. Utover dette foreligger det ikke rutinebeskrivelser på området. I møte med leder for Team IT ble det forklart at det alltid gjennomføres tester i forkant av endringer. 2.2 Fakta om internkontrollsystemets gjennomførende del Tiltak som er foreslått som følge av risikovurderingen i virksomheten, for eksempel tiltak for å oppnå tilstrekkelig informasjonssikkerhet, bør inngå i internkontrollsystemets gjennomførende del. 7 I den gjennomførende delen skal videre konfidensialitet, integritet og tilgjengelighet sikres. Den gjennomførende delen skal dokumentere konfigurasjon i systemer hvor personopplysninger lagres eller bearbeides. Gjennom denne dokumentasjonen skal det være mulig å verifisere at virksomhetens mål og policy for informasjonssikkerhet er iverksatt. Datatilsynet framhever viktigheten av entydig å definere hvem som har ansvaret for hva. Internkontrollsystemets gjennomførende del bør derfor inneholde prosedyrer og arbeidsinstrukser. Kildene til revisjonskriterier for denne delen er personopplysningsloven, personopplysningsforskriften kapittel 2, helsepersonelloven 21, helseregisterloven 13, eforvaltningsforskriften 15, standard punktene A7 (personellsikkerhet), A8 (administrasjon av eiendeler), A9 (tilgangskontroll), A10 (kryptering), A11 (fysisk sikring), A12 (operasjonell sikring) og A13 (kommunikasjonssikkerhet), standard og Datatilsynets veileder om internkontroll og informasjonssikkerhet. De enkelte revisjonskriteriene følger i fet tekst. 7 internkontroll/internkontroll_informasjonssikkerhet/etablering- internkontroll/#gjennomførende 19

21 2.2.1 Håndtering av personopplysninger Fylkeskommunen må ha oversikt over hva slags opplysninger den behandler, hva slags hjemmel den har for å behandle disse opplysningene og hvem som har rett til å behandle dem. Det skal foreligge en skriftlig oversikt over hva slags personopplysninger som behandles i den enkelte virksomhet, det skal være dokumentert hvilket formål de er samlet inn for og det rettslige grunnlaget for behandlingen av personopplysninger skal være avklart. I utkastet til internkontrolldokument er det på side 6 lagt opp til at det skal komme en oversikt over ulike programmer med tilhørende type personopplysninger, formål med innsamlingen, hvem som er ansvarlig for innsamlingen og hjemmel for innsamlingen. Denne var ifølge e- post av ikke klar. Det var lagt opp til videre arbeid i et møte i slutten av november Fylkeskommunen skal ha rutiner for å kontrollere om behandlingen av personopplysninger er konsesjonspliktig eller meldepliktig før behandlingen tar til. I vedlegg 2, bokstav D, i internkontrolldokumentet har fylkeskommunen oppgitt hvilke lover og regler som gjelder for plikt til å søke konsesjon og for å melde til Datatilsynet. Det skal foreligge en skriftlig oversikt over hvem som behandler personopplysninger. I fylkeskommunens internkontrolldokument framgår ikke oversikt over hvem som behandler personopplysninger. Det framgår på side 6 at ledelsen har ansvaret for at personopplysninger behandles riktig. Og videre at ledelsen skal sørge for tilfredsstillende systemer, rutiner og opplæring, samt at hver enkelt ansatt er kjent med rutinene og bruker dette i det daglige arbeidet. Det skal være etablert rutiner for sletting av personopplysninger, og disse rutinene er avstemt mot relevante bestemmelser i personopplysningsloven og arkivloven. Det framgår av fylkeskommunens dokument, vedlegg 2 bokstav D, hva som er behandlingsansvarliges og virksomhetens ansvar etter personopplysningsloven og arkivloven. Det er ingen rutinebeskrivelser utover dette. 20

22 Det skal være fastsatt regler for bruk av fylkeskommunens datasystemer. Datasystemene skal i utgangspunktet bare brukes til pålagte oppgaver. Privat brev/- dokumentskriving, utveksling av privat e- post med mer kan kun tillates i den grad dette ikke utsetter helse- og personopplysningene for risiko. Det framgår av vedlegg 6 i fylkeskommunens dokument, at det er lov å bruke fylkeskommunens utstyr på Internett kun ved enkel bruk, som ikke går utover arbeidet. Det framgår videre at det ikke er lov å lagre private data på sentrale servere. Dette er også omhandlet i fylkeskommunens IT- reglement Opplæring i internkontroll og informasjonssikkerhet Virksomhetens ledelse har ansvaret for å tilrettelegge og sørge for at det gjennomføres opplæring i informasjonssikkerhet og i bruk av de ulike informasjonssystemene. Formålet med opplæringen er å gi virksomhetens medarbeidere kompetanse slik at de kan ivareta et godt og hensiktsmessig personvern etter gjeldende krav. Gode opplæringstiltak vil blant annet bidra til at ledere og medarbeiderne forstår hensikten med og blir i stand til å sikre personvernet og blir oppmerksom på ansvarsforhold med hensyn til informasjonssikkerhet. Det skal være iverksatt opplæring, opplæringen må ha en viss hyppighet og ha relevant innhold. Planene for opplæring er beskrevet under styrende del. Siden systemet pr oktober 2014 ikke er iverksatt er ikke opplæringen, slik den er beskrevet i internkontrolldokumentet, iverksatt. Opplæring slik den er pr i dag beskrives i neste kapittel i rapporten Krav til ansatte Kravene til den enkelte ansatte er viktig å få fram både i ansettelsesprosessen, underveis i ansettelsen og når arbeidsforholdet opphører. Medarbeidere skal være pålagt taushetsplikt for personopplysninger der konfidensialitet er nødvendig. I praksis betyr det at taushetsplikten normalt kommer til anvendelse i de tilfeller virksomheten behandler beskyttelsesverdige data. Ansatte som håndterer slike data bør undertegne en taushetserklæring. Det skal for den enkelte ansatte være utarbeidet krav til informasjonssikkerheten i arbeidskontrakten. Krav til informasjonssikkerhet er ikke innarbeidet i det som er standard arbeidskontrakt for fylkeskommunen. 21

23 Det skal være fastsatt prosedyrer for behandling av ansattes sikkerhetsbrudd (disiplinær prosess). Det framgår av fylkeskommunens IT- reglement, punkt 10.3, at brudd på regler om personvern, taushetsplikt og IT- reglement kan få konsekvenser for brukerens elev- eller ansettelsesforhold. Medarbeiderne skal være pålagt taushetsplikt ved behandling av personopplysninger og hvor konfidensialitet er nødvendig og alle ansatte som behandler beskyttelsesverdige data skal ha undertegnet taushetserklæring. Det framgår av fylkeskommunens internkontrolldokument at taushetserklæring skal signeres ved ansettelse. Det finnes to typer taushetserklæringer én på to linjer som er en del av standard arbeidskontrakt og én mer utfyllende som eksterne må signere. Den sistnevnte inneholder også noe om hva personopplysninger er og konsekvenser av å bryte taushetsplikten Roller og tilganger i nettverket Tilgang til ulike systemer skal tildeles medarbeiderne etter hvilke roller og arbeidsoppgaver de har. Rollen alene gir ikke tilgang, men skal altså være basert på konkret tjenstlig behov. Når en person er autorisert for tilgang, skal vedkommende rent faktisk oppnå tilgang i samsvar med autorisasjonen. Virksomheten må derfor opprette brukerkontoer i henhold til dette. Det bør være utviklet en policy for tilgangskontroll. Rutinene skal si noe om at tilgang skal gis i tråd med roller og arbeidsoppgaver for den enkelte medarbeider at brukerne bare skal få tilgang til det de spesifikt er autorisert for Det framgår av fylkeskommunens interkontrolldokument at Personal- og organisasjonsavdelingen er ansvarlig for at rutiner følges for tilganger til nye brukere, endringer av tilganger og for brukere som skal avsluttes. Det framgår at hensikten med rutinen er å sikre at ansatte kun får tilgang til nødvendige ressurser, og at tilganger opphører ved endringer/oppsigelser. Det er utarbeidet et skjema, som er tilgjengelig på fylkeskommunens ansattportal (er også i vedlegg 7 i internkontrolldokumentet), som skal benyttes for tilganger, endringer og avganger. På dette skjemaet framgår hva slags tilganger den enkelte skal gis. Det er Team IT som skal tildele aktuelle ressurser, mens de forskjellige fagsystemansvarlige skal tildele rettigheter i fagsystemene. 22

24 Vedlegg 2, punkt C inneholder rutiner for informasjonshåndtering. Rutinene sier blant annet noe om at dokumenter/informasjon bare skal deles med personer som har autorisasjon for graderingen, og videre kun med personer som har tjenstlig behov. Det framgår videre at informasjon skal lagres på sikkert område på filsystem hvor kun den/de som skal ha informasjonen har tilgang. Sensitive personopplysninger i sak- arkivsystemet skal lagres og behandles i sikker sone. Det skal i rutinene være stilt krav om at det skal utarbeides en oversikt som viser tilgangene pr rolle at tilgangene skal gjennomgås jevnlig, f eks ved endringer i roller hyppigere kontroll overfor dem som er gitt spesielle privilegier i systemet (utvidete, administratorrettigheter) Rutinene inneholder ikke krav til å utarbeide oversikt som viser tilgangene pr rolle. Det framgår ikke noe om kontroll av tilganger, og dermed heller ikke noe om hyppigere kontroll av dem som er satt opp med administratorrettigheter. For å motvirke at tilgang til informasjonssystemet misbrukes, skal den enkelte bruker autentiseres, i praksis ved hjelp av passord, kodebrikke eller passord tilsendt på SMS. Bruk av passord er i henhold til krav om at styringssystemet er interaktivt og at det har krav om kvalitet på passord som brukes. For eksempel må det være krav til at passordet skal byttes etter første gangs pålogging (hvis en første gang får tildelt passord), passordet må være unikt og ikke gjettbart og det må ikke deles eller noteres ned. Videre må ikke passordet synes på skjermen når enheten er i et nettverk, siden det da er muligheter for at det kan spores/leses. Det er i fylkeskommunens IT- reglement krav om at passordet byttes ved første gangs pålogging. Det gis et midlertidig passord til første gangs pålogging. Det framgår også at passordet er strengt personlig. Et sjekkpunkt i sikkerhetsrevisjonsrutinen, vedlegg 1 er om ansatte er bevisste på at de ikke skal skrive ned passordet sitt. Det framgår av IT- teamets driftsdokument at et passord minst må inneholde 6 bokstaver Krav til samtykke og informasjon Når en virksomhet i fylkeskommunen registrerer helse- og personalopplysninger skal den registrerte være informert om at registreringen skjer og ha fått informasjon om sine rettigheter knyttet til samtykke, reservasjon, innsyn, retting og sletting. Overordnede rutiner skal inneholde bestemmelser om at slik informasjon skal gis. I Vedlegg 2, punkt D i internkontrolldokumentet framgår det at det skal foreligge samtykke fra den registrerte om det ikke finnes lovhjemmel for behandlingen. Det framgår videre at ved krav om å innhente samtykke skal den registrerte aktivt samtykke og være informert om hvordan opplysningene behandles og hvem som får 23

25 tilgang til dem. Når det gjelder informasjonsplikt framgår det at dersom opplysningene innhentes fra andre enn den registrerte selv, har vedkommende krav på informasjon om hvem som er behandlingsansvarlig, formålet med behandlingen og om opplysningene vil bli utlevert og i tilfelle til hvem Overføring av personopplysninger Fylkeskommunen skal ha rutiner for opprettholdelse av sikkerheten ved overføring av informasjon enten internt i virksomheten eller til eksterne. I vedlegg 1 om sikkerhetsrevisjon er et kontrollpunkt om de ansatte er bevisst på at sensitive personopplysninger skal krypteres om de skal sendes pr e- post. Også i vedlegg 2 om rutine for informasjonshåndtering står det listet opp hva slags informasjon som må sendes på sikret linje, hva som kan sendes pr e- post, vanlig post og med telefaks Fysisk sikring Fysisk sikring omfatter adgangsbegrensning, adgangskontroll, låsing av kontorer, arkivrom mv. I tillegg må utstyr (PC- er mv) som inneholder personopplysninger sikres for å forhindre at uautoriserte får tilgang. Det skal foreligge rutiner for daglig sikring av kontordører og vinduer (låsing og alarmsystemer), resepsjonsområdet, PC- er, skrivere, telefakser, kopimaskiner, bærbare datamaskiner mv. I fylkeskommunens internkontrolldokument på side 15 er det satt opp krav til den enkelte virksomhet om låsing av dører, lukking av vinduer, nøkler og nøkkelkort, om tilgang til ulike soner og til dataserverrom, bruk av overvåkingsutstyr og alarm. Det skal foreligge rutiner for å sikre at utskrifter ikke kommer på avveie. Fylkeskommunen har i sitt internkontrolldokument på side 16 beskrevet en rutine for håndtering av utskrifter. Denne tar blant annet for seg behovet for sikker utskrift, det vil si utskrift ved hjelp av autentisering med kort. På steder hvor det ikke er mulig, skal utskrifter hentes raskest mulig. Rutinen tar også for seg papirdokumenter som inneholder personopplysninger, og sier at disse skal oppbevares i låst safe eller i låst skap eller låst kontor. For hele fylkeskommunen gjelder pr i dag at den ansatte selv kan velge hvor utskriften skal komme, og i praksis kan man velge en printer på et annet sted enn der man selv sitter. 24