Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Transkript

1 Kristiansund kommune Rådhuset, Kaibakken KRISTIANSUND N Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /HHU 5. desember 2013 Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet Det vises til Datatilsynets kontroll hos Kristiansund kommune 24. september 2013 og Datatilsynets varsel om vedtak av 1. oktober Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Datatilsynet har ikke mottatt noen merknader til varslet. Det fattes derfor vedtak i samsvar med tidligere varsel. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Kommunen må utarbeide en oversikt over behandlinger av personopplysninger som tydeligere viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget, jf 13 og 14, jf forskriften 2-4, 1. ledd. Det vises til kontrollrapportens Kommunen må utarbeide rutiner for ivaretakelse av den registrertes rettigheter etter 19 og 20, jf. forskriften 3-1 bokstav d). Det vises til kontrollrapportens Kommunen må gjennomføre risikovurdering for behandling av personopplysninger i egen organisasjon, jf 13, jf. forskriften 2-4 og Det vises til kontrollrapportens Kommunen må etablere system for sikkerhetsrevisjon i samsvar med 13, jf. forskriften 2-5. Det vises til kontrollrapportens Kommunen må etablere og dokumentere et system for opplæring av alle ansatte og nytilsatte som omfatter rettigheter, eter, plikter og informasjonssikkerhet etter personopplysningsloven, jf 13 jf forskriften 2-8. Det vises til kontrollrapportens Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 6. Kommunen må etablere og oppdatere avtaler med sine databehandlere slik at de oppfyller kravene til en databehandleravtale i 15 og 13, samt forskriften Det vises til kontrollrapporten 6.3. Datatilsynet gir frist for gjennomføring av påleggene til 1. april Kristiansund kommune må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Knut B. Kaspersen fagdirektør Hallstein Husand seniorrådgiver Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 13/00906 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Kristiansund kommune Sted: Kristiansund Utarbeidet av: Hallstein Husand 1 Innledning Datatilsynet gjennomførte kontroll hos Kristiansund kommune 24. september Kontrollen ble utført med hjemmel i personopplysningsloven 42, 3. ledd, jf. 44. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollen ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak jf. 13. Alle henvisninger til lovhjemler i denne rapporten porten vil, med mindre annet eksplisitt oppgis, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets ts vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: Karl Kjetil Skuseth, ass. rådmann Arild Ovesen, IT-leder Jarle Krogsæther, hovedvernombud Linda Mari Hjønes, personalrådgiver 2.2 Fra Datatilsynet: Hallstein Husand, seniorrådgiver Knut B. Kaspersen, fagdirektør - 1 av 10

4 3 Generelt Kristiansund kommune har innbyggere. Det er en kommune i næringsvekst. Kommunen er base for olje- og gassindustrien i sitt område. Havbruk er også en næring i vekst. Det er startet et samarbeid med 13 andre kommuner. Disse har slått seg sammen i styringsselskapet IKT Orkide. Arbeidet med internkontrollen startet i 2002/2003. Kommunen er organisert etter enhetsmodellen, med 52 forskjellige enheter. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 21. august 2013 om at kommunen oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, jf. forskriften 2-4, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. Andre relevante dokumenter ble utlevert på møtet, eller ettersendt. En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll og ivaretakelse av tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble kommunens internkontrollsystem, sikkerhetsarbeid og -tiltak gjennomgått på overordnet nivå. Tilsynet hadde fokus på den behandlingsansvarliges arbeid etterlevelse av gjeldende lover og forskrifter. 2 av 10

5 6 og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Kommunen har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne lov. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14, 2. ledd skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvarlig defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som reglene i personopplysningsloven retter seg mot. Forskriften 2-3 (sikkerhetsledelse) understreker at den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver har ansvaret for å ivareta informasjonssikkerhet. Dette er nærmere omtalt i kapittel 6.2. Behandlingsansvaret som tilligger rådmannen er synliggjort i organisasjonen Ansvaret er synliggjort på en tilfredsstillende måte, men tilsynet ønsker å poengtere at dette også hør framkomme av internkontrollen, jf forskriften Ingen avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må 3 av 10

6 angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Kommunen hadde ikke utferdiget en oversikt over behandling av personopplysninger. Det finnes en oversikt over elektroniske systemer som er i bruk, men den gir ingen oversikt over hvilke personopplysninger som behandles i kommunen. Det er en mangel at det ikke er laget en oversikt over hvilke personopplysninger som behandles. En slik oversikt burde både vært tilgjengelig sentralt, og i forhold til den enkelte enhet. Og en slik oversikt kan gjerne lages i en matriseform. En videreutvikling av matrisen vil gjøre det lettere å etterkomme borgerens forespørsel om innsyn etter 18, 1. ledd. Manglende oversikt over den enkelte behandling av personopplysninger er et avvik fra 14, og 13, jf. forskriften 2-4, 1. ledd Innsyn og informasjon Den behandlingsansvarlige plikter å gi innsyn i sin behandling, jf. 18, og informasjon om sin praksis, jf. 19 og Rett til innsyn Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn i personopplysninger om seg selv følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. Kommunen har utferdiget et dokument om den registrertes rett til innsyn. Dokumentet omhandler også den registrertes krav og rett på informasjon når personopplysninger behandles. Vurdering og delkonklusjon Dokumentet om den den registrertes rett til innsyn og informasjon tilfredsstiller lovens krav etter forskriften 3-1. Ingen avvik. 4 av 10

7 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, 1. ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1, 1. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av 19 siste ledd og 23. Det er ikke utferdiget et dokumentasjon for ivaretakelse av den registrertes rettigheter etter 19 og 20, se pkt Vurdering og delkonklusjon Manglende dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 19 og 20 er et avvik etter forskriften 3-1, tredje ledd bokstav d) Hovedkonklusjon Det ble konstatert avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) for ivaretakelse av 19 og Opplysningskvalitet og sletting I henhold til 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Etter 27 skal personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle rettes. Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at personopplysningenes kvalitet foretas i samsvar med bestemmelsene i loven. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 10

8 Det er utarbeidet dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 27 og 28. Rutinene er utformet i generelle former. Det påpekes at kommunen bør lage mer eksakte planer for sletting/arkivering. Her kan det tas utgangspunkt i utarbeidet arkivplaner. Ingen avvik. 6.2 Krav om informasjonssikkerhet generelt I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse, sikkerhetsmål og sikkerhetsstrategi I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. forskriften 2-7. Kristiansund kommunes sikkerhetsmål og sikkerhetsstrategi er nedfelt, men det kan virke som om de ikke er gjort «levende nok» i det daglige arbeid. Sikkerhetsmålene som er definert er tilstrekkelige ut fra kommunens behov og målsettinger. Datatilsynet vil minne om plikten til å gjøre disse til et verktøy vor ledelsen og i det daglige arbeid i hele organisasjonen.. Ingen avvik. 6 av 10

9 6.2.3 Sikkerhetsorganisasjon I henhold til forskriften 2-7 skal det etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvar og roller for sikkerhetsledelse er dokumentert i egen prosedyre. Basert på tilsendt dokumentasjon og stedlig kontroll framstår det som om Kristiansund kommune har etablert en sikkerhetsorganisasjon. Ingen avvik Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Den behandlingsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Kristiansund kommune gjør risikovurderinger knyttet til all innføring av nye løsninger, samt for det som har med interkommunale løsninger og «Orkide samarbeidet» å gjøre. Det er imidlertid ikke gjort noen egen ROS analyse eller risikovurderinger for egen organisasjon og eksisterende løsninger. Risikovurderinger er heller ikke en del av ledelsens gjennomgang. At det er gjennomført risikoanalyser for nye løsninger og for interkommunale løsninger og «Orkide» framstår som en styrke i informasjonssikkerhetsarbeidet. Imidlertid vil Datatilsynet påpeke mangelen ved at det ikke er gjennomført og ikke dokumenterte risikoanalyser for hele kommunenes virksomhet og alle løsninger og systemer som benyttes, samt at dette heller ikke er en del av ledelsens gjennomgang. Disse forholdene gjør at dette er et avvik etter 13 jf forskriften Sikkerhetsrevisjon Virksomheten plikter å å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig, jf. forskriften 2-5. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. 7 av 10

10 Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Kristiansund kommune har ikke en tilstrekkelig rutine for årlige sikkerhetsrevisjoner, noe som medfører at dette ikke er en del av ledelsens gjennomgang. At rutinen for sikkerhetsrevisjoner ikke er aktivert og inngår som en del av kommune ledelsens gjennomgang, er et avvik etter 13, jf forskriften Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. forskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Kristiansund kommune har et eget system og en egen løsning for avvikshåndtering som tilfredsstiller de krav som finnes i forskriften 2-6. Kristiansund kommune har fullt ut implementert dette og benytter i dag dette som løsning for all avviksmelding og behandling. Det synes som om kommunen har en god kultur for avviksmelding og behandling. Løsningen som benyttes fungerer tilfredsstillende etter de krav som personopplysningsloven stiller. Ingen avvik Sikkerhetstiltak Den behandlingsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. 13, ref. forskriften 2-11, 2-12 og Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Kristiansund kommune har en normal tilgangskontroll med pålogging til Active Directory (AD) som kun gir tilgang til desktop. Tilgang videre til saksbehandlingsløsninger krever 8 av 10

11 ytterligere tildeling av tilganger. Tilgangene er graderte etter tjenstlige behov. Hjemmekontor er kun ved tjenstlige behov og skjer kun ved bruk av kommunens eget utstyr og er sikret med VPN tunnel og tofaktor løsning. Det er ikke mulig å kopiere mellom åpen og sikker sone, dette gjelder ift alle typer medium. Kristiansund kommune hadde på kontrolltidspunktet ingen nedfelte retningslinjer for fysiske tilganger utover sikring av servere, samt for rådhuset utenom arbeidstid. Løsningene som Kristiansund kommune benytter for sine IKT-løsninger er tilfredsstillende etter personopplysningsloven og ingen avvik er konstatert knyttet til dette. Datatilsynet vil minne kommunen som plikten som påhviler dem etter 13, jf forskriften 2-10 om fysisk sikring for å hindre autorisert tilgang som har betydning for informasjonssikkerheten Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf forskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Kristiansund kommune har ingen oppdatert opplæringsrutine for alle ansatte, som er i bruk, og ingen gode løsninger for introduksjon og generell opplæring knyttet til rettigheter, plikter og informasjonssikkerhet etter personopplysningsloven. Mangelen på systematisert opplæring av både allerede ansatte og nytilsatte er et avvik etter 13, jf forskriften Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Kristiansund kommune hadde ikke en total oversikt over databehandleravtaler kommunen har. 9 av 10

12 Mangelen på en tilfredsstillende oversikt over databehandleravtaler er et avvik etter av 10