Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Transkript

1 Hovedredningssentralen for Nord-Norge Postbpoks BODØ Deres referanse Vår referanse Dato 2014/ / /KBK Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet Den 30. april 2014 gjennomførte Datatilsynet en kontroll hos Hovedredningssentralen for Nord Norge (HRS Nord-Norge). Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. HRS Nord-Norge fikk oversendt varsel om vedtak i brev av 3. desember Innledningsvis vil Datatilsynet gi sine kommentarer til HRS Nord-Norges tilsvar av 9. februar Generelle kommentarer Datatilsynet ønsker innledningsvis å uttrykke tilfredshet med at HRS Nord-Norge deler vårt utgangspunkt i at det er en allmenn forventning at en offentlig virksomhet følger de lover og regler som er pålagt. Som nevnt i vårt varsel av 3. desember 2014 var det ved denne kontrollen vanskelig å få et tydelig bilde av hva som var årsaken til at det ikke var laget tilstrekkelige dokumenterte rutiner i henhold til personopplysningsloven. I sitt tilsvar fremholder HRS Nord-Norge at det faktum at all dokumentasjon av internkontrollsystemet ikke er i samme dokument ikke i seg selv er i strid med 14. Dette er i og for seg riktig, men at man har noe dokumentasjon trenger heller ikke nødvendigvis bety at internkontrollen er tilstrekkelig og tilfredsstiller lov og forskrift. Ved manglende systematikk i dokumentasjonen vil det være vanskelig for tilsynsmyndigheten å gjøre en god dokumentkontroll og dertil like vanskelig å godtgjøre om dokumentasjonen er god nok. Datatilsynet er enig med HRS Nord-Norge at påstanden om at det ikke er etablert noe internkontrollsystem er noe sterkt all den stund HRS Nord-Norge hadde noe dokumentasjon; dog ikke systematisert, og ikke i tilstrekkelig grad framlagt for Datatilsynet på kontrollen. Overtredelsesgebyr Bruk av overtredelsesgebyr for brudd på personopplysningsloven med forskrift er et sanksjonsmiddel Datatilsynet tok i bruk i Helt bevisst har vi fra tilsynets side valgt en Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 gradvis utvikling i bruken av dette sanksjonsmiddelet, der vi i den senere tid har benyttet dette i økende grad. Vi har hatt et stort antall kontroller hos en rekke forskjellige offentlige virksomheter, med til dels betydelige avvik. Vi har i disse sakene fattet flere vedtak, uten at dette har hatt den allmennpreventive virkning både vi og lovgiver hadde ønsket. Derfor har vi sett oss nødt til å bruke overtredelsesgebyr i økende grad, for å søke ytterligere regelverksetterlevelse også hos offentlige virksomheter. Offentlige virksomheter er det man kan kalle storforbrukere av personopplysninger; HRS Nord-Norge kanskje i noe mindre grad enn i et direktorat eller kommune. Likevel vil HRS Nord-Norge behandle personopplysninger, som også vil være av sensitiv karakter. Dette omfatter lovpålagte oppgaver med behandling av personopplysninger. Nettopp derfor er det viktig at det er gode rutiner for behandling av opplysningene. Dette sammen med økt digitalisering betinger god internkontroll og god informasjonssikkerhet. Offentlige virksomheter og myndigheter har generelt sett stor tillit hos sine brukere og befolkningen generelt. Avdekking av at disse ikke følger egne lover og forskrifter kan være ødeleggende for denne nødvendige tillit. Datatilsynet finner det fremdeles nødvendig med en streng reaksjon, både knyttet til de konkrete avvik og av allmennpreventive hensyn. Etter en ny vurdering har vi kommet til at det varslede gebyr på kr ,- var satt noe høyt. Datatilsynet har derfor satt gebyret til kr ,-. Vi mener dette er tilstrekkelig for å ivareta de hensyn vi har nevnt ovenfor. Om internkontrollplikten Personopplysningsloven i seg selv legger ansvaret for behandling av personopplysninger på virksomheter for den behandling de foretar. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er krav til den behandlingsansvarlige som gjennom planlagte og systematiske tiltak skal sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet, utfra type virksomhet, størrelse og behandlingen(e)s art og omfang, jf. forskriften 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og ha dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når rutinene er implementert, slik at de i praksis ligger til grunn for virksomhetens behandling av personopplysninger. Internkontroll (pkt 6.1) HRS Nord-Norge fremhever at de systemene de har må anses som deler av et internkontrollsystem. Datatilsynet ser at det som er fremlagt kan anses å være deler av hva vi forventer av et internkontrollsystem etter personopplysningsloven. Vi er enig i at beskrivelsen «tilnærmet totalt fravær av internkontrollsystem» derfor ikke er helt presis og endrer vår konklusjon i rapporten til mangelfull. Dette endrer imidlertid ikke vår vurdering av alvorligheten av avvikene som er påvist. 2

3 Ansvarsforhold etter loven behandlingsansvarlig (pkt ) Datatilsynet tar merknadene til etterretning. Oversikt over behandlinger og behandlingsgrunnlag (pkt 6.1.3) Datatilsynet tar merknadene til etterretning. Rett til innsyn (pkt ) Datatilsynet er av den oppfatning at det er viktig at rutinene for innsynsbegjæringer dokumenteres, da disse på vesentlige punkter er forskjellige fra innsynsbegjæringer etter annen lovgivning. For eksempel skal man i tilknytning til en innsynsbegjæring etter personopplysningsloven også redegjøre for sikkerhetstiltak. I den sammenheng bør man i rutinene gjennomgå hvilke sikkerhetstiltak man kan gi ut, og hvilke man må unnta fra innsyn. At man legger loven til grunn er selvsagt, men ikke tilstrekkelig som rutinebeskrivelse. En slik henvisning vil mangle en sentral del av rutinebeskrivelsen, nemlig ansvarsfordeling. Hvem har ansvaret for at innsyn gis, at unntakene begrunnes og at frister overholdes. Denne typen opplysninger er en naturlig del av en slik beskrivelse. Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte selv (pkt ) Datatilsynet slutter seg til HRS Nord-Norge sin vurdering om at informasjonsplikten etter 19 i liten grad er relevant for virksomheten. Vurderingen, på nivå med det som er gitt i tilsvaret, bør imidlertid fremgå av internkontrollen. Vi legger vi legger videre til grunn redegjørelsen om at det vil utarbeides rutiner etter 20. Rapportens omtale er korrigert, men det fattes pålegg som tidligere varslet. Retting og sletting (pkt ) Datatilsynet tar merknadene til etterretning. Vi påpeker at vurderingen, på nivå med det som er gitt i tilsvaret, bør fremgå av internkontrollen, i tillegg til konkrete rutiner for de tilfeller hvor det er behov for dette. Det er ikke gjort endringer i rapporten, og det fattes vedtak som tidligere varslet. Melde og konsesjonsplikt (pkt ) HRS Nord-Norge er ikke enig med Datatilsynet i vurderingen av at personopplysningene er underlagt konsesjonsplikt etter 33, og viser i den sammenheng til 33 femte ledd som fritar organ for stat eller kommune fra konsesjonsplikten når behandlingen har hjemmel i lov. I tilsvaret påpekes det at det følger av politiloven 27 at det tilligger politiet å iverksette og igangsette redningsinnsats der menneskers liv og helse er truet. Som en følge av Datatilsynets kontroll har Politidirektoratet sett det formålstjenlig å presisere at Hovedredningssentralene faller inn under denne bestemmelsen. Det generelle utgangspunktet er i følge forarbeidene til personopplysningsloven at hjemmelskravet i 33 femte ledd skal tolkes strengt: 3

4 «For at et personregister skal være fritatt for konsesjon i medhold av denne bestemmelsen, kreves det at det eksplisitt fremgår av loven at det skal eller kan føres et register. Det er ikke tilstrekkelig at en særlov hjemler en aktivitet som gjør opprettelse av et personregister nødvendig». I tilsvaret fra HRS Nord-Norge tilkjennegis det at «bestemmelsen angir rett nok ikke positivt hvilke personopplysninger som kan behandles i denne sammenheng, men det er en klar forutsetning at det kan behandles nødvendige og relevante opplysninger for å oppnå formålet med behandlingen». Politiloven 27 framstår i denne sammenheng ikke så klar og tydelig som forutsetningen for anvendelse av bestemmelsen tilsier. Datatilsynet kan heller ikke se at henvisningen til internasjonale konvensjoner endrer på dette; selv om disse påpeker at oppdrag og hendelser skal dokumenteres tilfredsstillende. Datatilsynet står derfor fast ved sin opprinnelige vurdering om at det er konsesjonsplikter etter 33, og det konstateres avvik knyttet til dette i kontrollrapporten. Datatilsynet ser det imidlertid som mer hensiktsmessig at det gis en tilstrekkelig regulering i lov av behandlingen som finner sted ved Hovedredningssentralen i Nord-Norge (og tilsvarende), enn at behandlingen reguleres gjennom konsesjon fra Datatilsynet. Datatilsynet fatter derfor ikke vedtak om at det skal søkes om konsesjon på dette tidspunkt. Vi vil følge opp dette spørsmålet nærmere i dialog med dere. Sikkerhetsledelse (pkt ) Datatilsynet tar HRS Nord-Norges kommentar til etterretning og legger til grunn at HRS Nord-Norge er enige i vår konklusjon og at sikkerhetsstrategi vil bli utarbeidet som et ledd i utarbeidelsen av et internkontrollsystem. Risikovurderinger (pkt ) Som det påpekes fra HRS Nord-Norge ble det konstatert at det for flere av løsningene var gjort risikovurderinger, noe som også framgår i vår foreløpige rapport. Vi ser at HRS Nord- Norge er uenige i vår konklusjon, men at man er enige med oss i at det på kontrolltidspunktet ikke var foretatt fullstendig og dokumenterte risikovurderinger etter personopplysningsloven. Datatilsynet tar til etterretning at arbeidet med risikovurderinger er påbegynt i uke 7 og at ROS analyser er gjennomført og vil være implementert og forankret innen 15. juni Vi vil fremdeles framholde at det på kontrolltidspunktet ikke var gjennomført og dokumentert tilstrekkelige risikovurderinger til å oppfylle kravet i 13, jf. forskriften 2-4. Det er foretatt presiseringer i rapporten, men det fattes vedtak som tidligere varslet. Sikkerhetsrevisjon (pkt ) Ingen merknader, vi legger til grunn at HRS Nord-Norge er enige i vår konklusjon Avvikshåndtering/sikkerhetsbrudd (pkt ) Ingen merknader, vi legger til grunn at HRS Nord-Norge er enige i vår konklusjon 4

5 Sikkerhetstiltak (pkt ) Ingen merknader, vi legger til grunn at HRS Nord-Norge er enige i vår konklusjon. Opplæring (pkt ) Ingen merknader, vi legger til grunn at HRS Nord-Norge er enige i vår konklusjon. Vi har gjort noen presiseringer i foreløpig rapport. Databehandleravtaler (pkt. 6.3 (6.2.7 i HRS Nord-Norges tilsvar)) Datatilsynet merker seg at det er inngått databehandleravtaler med aktuelle databehandlere, og konstaterer dermed at dette avviket er lukket. Vedtak om pålegg 1. HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14, jf. forskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven (internkontroll): a. rutiner for ivaretakelse av enhvers krav om innsyn i HRS Nord-Norges behandlinger av personopplysninger og den registrertes rett til innsyn i egne opplysninger etter 18, første og andre ledd, jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt b. rutiner for ivaretakelse av den registrertes rettigheter til informasjon etter 19 og 20, jf. 14 jf. forskriften 3-1, tredje ledd bokstav d). Det vises til kontrollrapportens pkt c. rutiner for retting og sletting, i samsvar med 27 og 28, jf. 14, jf. forskriften 3-1, tredje ledd bokstav c). Se kontrollrapportens pkt d. rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31 og 33, jf. 14, jf. forskriften 3-1, tredje ledd bokstav f). Det vises til kontrollrapportens pkt HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14 og 13, jf. forskriften 2-4 første ledd å utarbeide en oversikt over behandlinger av personopplysninger som viser hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. Det vises til kontrollrapportens pkt HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-3 å etablere en sikkerhetsstrategi. Se kontrollrapportens HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-4, andre ledd å gjennomføre risikovurderinger av informasjonssystemet. Se kontrollrapportens pkt HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-5 å etablere rutiner for og gjennomføre sikkerhetsrevisjon. Se kontrollrapportens pkt HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-6 å etablere rutiner for avviksmelding og for avviksbehandling og behandling av sikkerhetsbrudd. Se kontrollrapportens pkt

6 7. HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-11, 2-12, 2-13 og 2-14 å innføre og dokumentere sikkerhetstiltak. Det vises til kontrollrapportens pkt HRS Nord-Norge pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13, jf. forskriften 2-8 å etablere rutiner for og gjennomføre opplæring av ansatte for sikker bruk av informasjonssystemet. Se kontrollrapportens pkt Vedtak om ileggelse av overtredelsesgebyr HRS Nord-Norge pålegges i medhold av personopplysningslovens 46, første ledd, jf. 13 og 14 å betale et overtredelsesgebyr til statskassen, stort kroner femtitusen, for å ha behandlet personopplysninger uten å etablere dokumenterbare og tilfredsstillende tiltak for å sikre at behandlingen skjer i tråd med personopplysningslovens bestemmelser (internkontroll) og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. 47a. Vurdering av overtredelsesgebyr Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf. Rt side 1556 med videre henvisninger, legger derfor Datatilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Ved vurderingen om det skal ilegges et overtredelsgebyr er det lagt vekt på at internkontroll er en nødvendig forutsetning for at den behandlingsansvarlige skal kunne forsikre seg om, og løpende kontrollere at virksomheten til enhver tid følger personopplysningslovens bestemmelser. Datatilsynet mener at det å ha en mangelfull internkontroll og derfor ha manglende dokumenterte rutiner er et betydelig avvik og må ansees alvorlig i forhold til de interesser loven verner, jfr. 46, andre ledd bokstav a). Forventningen om at HRS Nord-Norge setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det har betydning for vurderingen av skyldgraden etter 46, andre ledd bokstav b). Det kan her vises til at organet behandler sensitive personopplysninger i deler av sin virksomhet. At de på kontrolltidspunktet ikke kunne vise at de hadde rutiner for dette vektlegger vi i skjerpende retning, både når det gjelder vurderingen av om gebyr skal ilegges og ved utmåling. Datatilsynet har også lagt vekt på at mangelfull internkontroll øker risikoen betydelig for negative konsekvenser for de registrerte. Kontrollen avdekker også at det ikke er foretatt 6

7 særskilt risikovurdering i henhold til forskriften 2-4. Det gjør at HRS Nord-Norge i liten grad er i stand til å forutse potensielle konsekvenser for personvernet ved sikkerhetshendelser. Plikten etter denne bestemmelsen er også et uttrykk for en interesse loven verner, jfr. 46, andre ledd bokstav a), og brudd på plikten er et argument for ileggelse av overtredelsesgebyr. At risikovurderingene ikke er dokumentert gjør det i tillegg tilnærmet umulig for tilsynsmyndigheten å føre den kontroll som følger av loven. At HRS Nord-Norge hevder at dette er gjort i tilknytning til enkelte løsninger, samt at man i etterkant av kontrollen har igangsatt et arbeid på dette, endrer ikke at det på kontrolltidspunktet ikke var tilstrekkelig dokumentasjon. Uten skriftlighet er det umulig å stadfeste om virksomheten i tilstrekkelig grad har vurdert risiko for sin egen behandling av personopplysninger. Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige være i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene, er det etter vår oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon i tillegg til overfor tilsynsmyndigheten. Det fragmenterte bildet som HRS Nord-Norge fremviste har klare mangler både når det gjelder systematikk, dokumentasjon og evne til å bevise at de er implementert i organisasjonen. Vi kan ikke påvise gjentakelse direkte i og med at dette er første gang dette påpekes overfor HRS-Nord-Norge, jf. 46, fjerde ledd bokstav f), men at forholdet har vart i mange år vurderes som skjerpende i relasjon til graden av skyld, jf. bokstav b). Manglene er av en slik art og omfang at det medfører etter vår oppfatning en uholdbar risiko for at HRS Nord-Norge i praksis har brutt og fremdeles bryter andre helt sentrale bestemmelser i personopplysningsloven, uten at dette kan oppdages av virksomheten selv eller tilsynsmyndigheten. Mangelen er av den grunn også skjerpende i vurderingen av om overtredelsesgebyr skal ilegges jf. 46, andre ledd bokstav c) hvor det skal vektlegges om retningslinjer mv. kunne forebygget overtredelsen. Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. 46, fjerde ledd bokstav g). Gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. De forhold Datatilsynet har pekt på ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsens karakter og virksomheten behandling av personopplysninger. Store mangler ved internkontrollsystemet karakteriseres som et alvorlig avvik. Det er en generell forventning at statlige institusjoner følger de regler som er gitt. Det er i denne saken, som nevnt over, vanskelig å vurdere om departementet har rutiner som er egnet til å ivareta personvernet til de som er registrert da departementet i liten grad har dokumentert rutinene. 7

8 Datatilsynet har gjennom flere kontroller erfart at flere statlige og kommunale institusjoner har store mangler i internkontrollsystem. Ileggelsen av overtredelsesgebyr har derfor også en allmennpreventiv begrunnelse. Det er viktig at etater og institusjoner som håndterer opplysninger om befolkningen har gode systemer internt som sikrer at de tildelte rettigheter som borgerne har ikke blir neglisjert og at avvik lett kan oppdages. Etter en vurdering av alvorligheten i overtredelsen har vi kommet til at et overtredelsesgebyr på anses passende. Frist for gjennomføring av påleggene Datatilsynet gir frist for gjennomføring av påleggene til 1. november HRS Nord-Norge må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. En eventuell klage oversendes Personvernnemnda for klagebehandling. Datatilsynet gjør i den forbindelse oppmerksom på retten til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Med vennlig hilsen Bjørn Erik Thon direktør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 8