Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Transkript

1 Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/ /KBK 18. februar 2013 Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Den gjennomførte Datatilsynet en kontroll hos Direktoratet for naturforvaltning (DN). Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Datatilsynet har i brev 29, mottatt virksomhetens merknader til varselet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Direktoratet for naturforvaltning må etablere internkontroll gjennom planlagte og systematiske tiltak i samsvar med 14. Se tilsynsrapportens avsnitt Direktoratet for naturforvaltning må avklare hvem som er behandlingsansvarlig for behandling av personopplysninger i tilknytning til Jegerregisteret, jf. 14, jf. 2 og 11. Se tilsynsrapportens avsnitt Direktoratet for naturforvaltning må etablere rutiner for å sikre innsyn og informasjon til den registrerte i samsvar med 14, jf. forskriften 3-1 bokstav d). Se tilsynsrapportens avsnitt og Direktoratet for naturforvaltning må etablere rutiner for sletting i samsvar med 14, jf. forskriften 3-1 tredje ledd bokstav c). Se tilsynsrapportens avsnitt Direktoratet for naturforvaltning må etablere entydige sikkerhetsmål og sikkerhetsstrategi. Direktoratet for naturforvaltning må også etablere en entydig sikkerhetsorganisasjon i samsvar med 13, jf. forskriften 2-3. Se tilsynsrapportens avsnitt Direktoratet for naturforvaltning må etablere helhetlige rutiner for gjennomføring av risikovurdering av alle systemer i virksomheten i samsvar med 13, jf. forskriften 2-4. Se tilsynsrapportens avsnitt Direktoratet for naturforvaltning må etablere rutiner for gjennomføring av sikkerhetsrevisjoner i samsvar med 13, jf. forskriften 2-5. Se tilsynsrapporten avsnitt Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 8. Direktoratet for naturforvaltning må etablere rutiner for avvikshåndtering og implementere dette i virksomheten i samsvar med 13, jf. forskriften 2-6. Se tilsynsrapporten avsnitt Datatilsynet gir frist for gjennomføring av påleggene til 1. juli For pålegg nr. 4 gis det frist til 1. november 2013 for gjennomføring og iverksettelse av rutinene. Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 12/01045 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Direktoratet for naturforvaltning Sted: Oslo Utarbeidet av: Knut-Bredee Kaspersen Marius Engh Pellerud Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Direktoratet for naturforvaltning 4. desember Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. 45. Alle henvisninger til lovhjemler i denne rapporten vil, med mindre det eksplisitt er uttalt noe annet, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Morten Mørch, avdelingsdirektør - Jonas Østlyng, senioringeniør - Einar Landheim, seksjonssjef - Martin S. Bergquist, førstekonsulent 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør, (jurist) - Martha Eike, overingeniør - Marius Engh Pellerud, rådgiver 3 Generelt Direktoratet for naturforvaltning (DN) er underlagt Miljøverndepartementet. Det er ca. 380 ansatte i DN, i hovedsak jurister, samfunnsøkonomer og ingeniører. Direktoratet 1 av 11

4 iverksetter regjeringens miljøpolitikk og har ansvaret for å identifisere, forebygge og løse miljøproblemer. DN er inndelt i fem avdelinger: - Avdeling for naturbruk og vern - Artforvaltningsavdelingen - Organisasjonsavdelingen - Avdeling for naturressurser og klima - Statens naturoppsyn. Statens naturoppsyn (SNO) er organisert som en egen enhet i direktoratet, og har lokalkontorer spredt over hele landet. SNO har oppsynsmyndighet både på offentlig og privat grunn. Fra 1. juli 2013 vil Direktoratet for naturforvaltning bli slått sammen med Klima- og forurensningsdirektoratet (Klif). Hovedkontor blir etablert i Trondheim. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 7. november 2012 om at direktoratet oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant av kontrollen. Direktoratet oversendte Datatilsynet ytterligere dokumentasjon etter kontrollen. En detaljert agenda ble oversendt DN før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av direktoratets plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 11

5 Under kontrollen ble DNs internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Datatilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i pkt Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i pkt Direktoratet har ikke etablert noe eget internkontrollsystem, slik 14 forutsetter. Imidlertid hadde direktoratet opprettet en oversikt over behandlinger av personopplysninger. Det var ellers få dokumenterte rutiner, og ingen kontrollerende aktivitet. Behandlingsansvaret som tilligger direktør er synliggjort i organisasjonen i prosedyrene for autorisasjon og sikkerhetsklarering. Selv om det er innlysende at det er direktøren som har behandlingsansvaret, så er ikke dette dokumentert slik regelverket pålegger direktoratet, se forskriften 3-1. Således er det heller ikke i tilstrekkelig grad synliggjort hvem som har det daglige ansvaret for den enkelte behandling. Dette må dokumenteres. 3 av 11

6 Konklusjon Manglende internkontrollsystem for ivaretakelse av pliktene etter personopplysningslovens er et avvik fra krav om internkontroll gjennom planlagte og systematiske tiltak etter 14, jf. forskriften Behandlingsansvar Jegerregisteret Datatilsynet vil påpeke spesiell usikkerhet for behandlingsansvaret for Jegerregisteret. Registeret driftes av Brønnøysundregistrene (BR) mens DN har en rolle som bruker av systemet. Datatilsynet har fått oversendt en avtale mellom Direktoratet og Brønnøysundregistrene som behandler Jegerregisteret. Her framgår det at Direktoratet har det overordnede ansvaret for registeret. I avtalen påpekes det videre at BR har ansvaret for driften av systemet og at BR er konsesjonshaver. Funksjonen som konsesjonshaver tyder på at det er BR som er behandlingsansvarlig, mens beskrivelsen av DNs rolle i systemet peker i retning av at DN bør ha rollen som behandlingsansvarlig. Rollen som behandlingsansvarlig for Jegerregisteret framstår som uavklart. Konklusjon Ikke avklart behandlingsansvaret for Jegerregisteret og manglende dokumentasjon av dette er et avvik fra 14, jf. forskriften 2 nr Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må direktoratet ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. DN hadde utferdiget en oversikt over behandlinger av personopplysninger. Delkonklusjon Ingen avvik konstatert. 4 av 11

7 6.1.5 Øvrige plikter etter personopplysningsloven 14 jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Dokumentasjon på rutiner for å sikre innsyn til den registrerte er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for å sikre innsyn og informasjon til den registrerte er å regne som et avvik fra 14, jf. forskriften 3-1 bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte selv Det følger av 19, 1. ledd, at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i av 11

8 Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20, 2.ledd og 23. Dokumentasjon på rutiner for å sikre informasjon til den registrerte er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for å sikre informasjon til den registrerte er å regne som et avvik fra forskriften 3-1 bokstav d) Sletting I henhold til 11, bokstav e), jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold og vurdering Dokumentasjon på rutiner for å slette opplysninger er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for sletting er et avvik, jf. forskriften 3-1 tredje ledd bokstav c) Konklusjon Manglende dokumentasjon på rutiner for innsynsbegjæringer etter 18, informasjonskrav etter 19 og 20, og sletteplikten etter 27 og 28 regnes som avvik fra 14, jf. forskriften Krav om informasjonssikkerhet I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 11

9 6.2.2 Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi DNs sikkerhetsmål er nedfelt i to dokumenter; virksomhetens grunnlagsdokument for sikkerhet (datert 2012) og i et dokument kalt Informasjonssikkerhet (datert 2008). Disse to dokumentene regulerer delvis det samme. På noen områder er det sammenfall mellom innholdet i de to dokumentene, men det er også delvis motstrid mellom dem. Det er derfor uklart hva som er gjeldende sikkerhetsmål og strategi i virksomheten. Grunnlagsdokument for sikkerhet er rettet inn mot beskyttelse av gradert materiale, men behandler også i noen grad personvern og informasjonssikkerhet. Det framgikk under kontrollen at det er uklart for virksomheten hvilket av dokumentene som gjelder ved motstrid. Delkonklusjon Mangel på entydige sikkerhetsmål og sikkerhetsstrategi er et avvik fra bestemmelsene i 13, jf. forskriften 2-3. Sikkerhetsorganisasjon Virksomhetens sikkerhetsorganisasjon er beskrevet i både grunnlagsdokument for sikkerhet og i dokumentet Informasjonssikkerhet. Ansvaret på informasjonssikkerhetsområdet er imidlertid ulikt beskrevet. Det er derfor uklart hva som er gjeldende sikkerhetsorganisasjon i virksomheten. Virksomhetens praksis er at de ulike fagavdelingene er delegert alle operative driftsoppgaver knyttet til virksomhetens fagsystemer. Fagavdelingene står blant annet for drift og anskaffelser selv. Avdeling for organisasjon og informasjon, som alle DNs representanter under kontrollen hørte til i, hadde kun driftsansvar for virksomhetens sektorovergripende system. Det var derfor noe begrenset hva representantene for DN kunne svare på under kontrollen. Datatilsynet ønsker å påpeke at en slik organisering kan ha uønskede konsekvenser. Dette kommer vi blant annet tilbake til i avsnitt Dette er imidlertid ikke å anse som et avvik. 7 av 11

10 Delkonklusjon Mangel på en dokumentert og helhetlig sikkerhetsorganisasjon er et avvik fra bestemmelsene i 13, jf. forskriften Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet kjenner ikke til at DN har noen veiledning eller rutiner for gjennomføring av risikovurderinger i virksomheten. Datatilsynet ble oversendt ett eksempel på risikovurdering i forkant av kontrollen. Denne er fra 2009 og derfor antar vi den ikke er helt oppdatert. Ansvaret for gjennomføring av risikovurderinger i DN ligger i de ulike fagavdelingene i direktoratet. Det fins derfor ingen sentral koordinering av gjennomføring av risikovurderinger. Det er varierende i hvilken grad avdelingene gjennomfører risikovurderinger, og avdelingen for organisasjon og informasjon har ingen rolle i dette arbeidet. Arbeidet med risikovurderinger i DN er derfor usystematisk og gjøres trolig i varierende grad. Datatilsynet fikk under kontrollen se eksempler på gjennomførte risikovurderinger av virksomhetens fellessystemer. Datatilsynet har ingen kommentarer til disse. Konklusjon Mangel på helhetlige rutiner for gjennomføring av risikovurdering av alle systemer i virksomheten er et avvik fra bestemmelsene i 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Sikkerhetsrevisjon er planlagt i virksomheten, men er ikke gjennomført. 8 av 11

11 Konklusjon Manglende sikkerhetsrevisjoner er et avvik fra bestemmelsene i 13, forskriften Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. DN oversendte Datatilsynet sin mal for avviksrapportering. Dette tilsvarer Datatilsynets mal for avviksskjema. DN har ingen egen rutine for melding eller oppfølging av avvik. Virksomheten håndterer ca ett til to avvik i året. Det er ingen rutine for lukking av avvik eller melding av avvik til Datatilsynet. Konklusjon Manglende rutiner for melding og oppfølging av avvik er et avvik fra 13, jf. forskriften Sikkerhetstiltak 13 jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Datatilsynet har fått overlevert virksomhetens rutine for tilgangsstyring. Datatilsynet har ingen kommentarer til denne. Under gjennomgang av DNs dokumentasjon identifiserte Datatilsynet enkelte forhold som ble belyst under og etter kontrollen. Dette gjennomgås i det følgende. Dokumentet informasjonssikkerhet fastslår at det er mulig å oppbevare personopplysninger på lokal PC. Under kontrollen ble det presisert at dette er en praksis som gjøres kun hos Statens 9 av 11

12 naturoppsyn (SNO). Dette fordi medarbeiderne i SNO jobber i felt og ikke sitter med tilgang til nett. En slik praksis representerer utfordringer med gjennomføring av krav i personopplysningsloven, for eksempel krav om sletting, retting og innsyn. Lagring på lokal PC representerer også en potensiell risiko for konfidensialitetsbrudd. Datatilsynet etterspurte under kontrollen DNs dokumenterte risikovurdering av denne praksisen. Denne dokumentasjonen ble ettersendt. Av denne dokumentasjonen framgår det at ansatte i SNO ikke skal lagre personopplysninger på lokal PC. Dersom vedkommende ikke har tilgang til nett skal personopplysninger lagres manuelt. Manuell mellomlagring er presisert til å være ikke i elektronisk form. Datatilsynet vil ikke konstatere et avvik i denne praksisen, men vil påpeke usikkerhet rundt hva gjeldende praksis faktisk er. Dokumentet informasjonssikkerhet fastslår at sensitive personopplysninger normalt ikke skal sendes på e-post (s. 8). Dette leder både til spørsmål om hvorfor DN har vurdert det slik at det i enkelte tilfeller er greit å sende sensitive personopplysninger på e-post, og om det er greit å sende ikke-sensitive personopplysninger på e-post. Under kontrollen viser det seg at sending av sensitive opplysninger på e-post kun gjelder oversendelse av anmeldelser fra SNO. DN har etter kontrollen bekreftet at denne praksisen er avsluttet og at sensitive personopplysninger ikke sendes på e-post lengre. Det var for øvrig aldri meningen med setningen over at ikkesensitive personopplysninger kan sendes på e-post. Konklusjon Ingen avvik konstatert Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Alle ansatte i DN signerer på IKT-instruksen. Denne viser til grunnlagsdokumentet og dokumentet Informasjonssikkerhet. Alle nyansatte vår kurs av IKT-avdelingen som gir utfyllende informasjon om sikkerhetsdokumentasjonen. Nyansatte går også på introkurs, men dette behandler informasjonssikkerhet kun overfladisk. Det er ikke informasjon om personvern og informasjonssikkerhet på virksomhetens intranettsider. Konklusjon Datatilsynet vil ikke påpeke avvik ved virksomhetens opplæringsvirksomhet. Datatilsynet vil imidlertid påpeke at virksomhetens opplæringsstrategi virker noe svak og trolig må styrkes i ledd av lukking av virksomhetens øvrige avvik Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på 10 av 11

13 vegne av Direktoratet for naturforvaltning må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med direktoratet. Direktoratet for naturforvaltning drifter de fleste av sine systemer selv. Imidlertid er det to samarbeidsforhold som Datatilsynet i sin kontroll har sett nærmere på: Jegerregisteret og Rovbase. DN har et samarbeid med Brønnøysundregistrene (BR) om Jegerregisteret. Det ble under kontrollen stilt spørsmål ved om det er DN eller BR som er behandlingsansvarlig for Jegerregisteret og om det eventuelt er etablert databehandleravtale mellom partene. Oversendt avtale mellom DN og BR inneholder i alle fall delvis innhold som skal reguleres i en databehandleravtale. Om det skal opprettes databehandleravtale mellom DN og BR avhenger av avklaring av behandlingsansvaret for Jegerregisteret, se avsnitt Det foreligger planer om samarbeid mellom DN og det svenske Naturvårdsverket om felles bruk av DNs base for rovvilt. Det er allerede i dag mulig for svenske brukere å registrere rovviltobservasjoner i DNs system. Det er kun navn på jeger som registreres av personopplysninger i denne løsningen. Dette er ikke regulert av databehandleravtale i dag, men det skal utformes en samarbeidsavtale mellom partene. Datatilsynet vil ikke konstatere avvik på dette punktet, men vil påpeke behovet for at partene tydeliggjør roller etter personopplysningsloven og at det trolig bør etableres en databehandleravtale i tillegg til en samarbeidsavtale. Konklusjon Ingen avvik konstatert. 11 av 11