Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG

Transkript

1 Miljøpartiet De Grønne Hausmannsgate OSLO Deres referanse Vår referanse Dato 16/ /KBK Varsel om vedtak om overtredelsesgebyr - Datainnbrudd i medlemssystemet - Miljøpartiet De Grønne - MDG 29. juni 2016 varslet MDG om et avvik hvor de var utsatt for datainnbrudd på partiets medlemssystem Hypersys. Det vises også til e-post av 1. september 2016, samt telefonsamtale mellom medlemssekretær Hans Joar Høiby-Hansen og Knut B. Kaspersen tirsdag 23. august Sakens faktiske forhold 27. juni 2016 ble MDGs medlemssystem Hypersys utsatt for et datainnbrudd. Første innbrudd skjedde hos Bergen MDG hvor to e-poster ble sendt ut til lokallagets medlemmer. Deretter har vedkommende tatt seg inn i MDG nasjonalt og sendt ut en sms og deretter fem eposter fra systemet til medlemmene. Videre ble en komplett medlemsliste eksportert i Excel-format. Vedkommende inntrenger har kommet seg inn i systemet og tatt over en bruker i Bergen MDG og jobbet seg oppover i hierarkiet til han fant en bruker med utvidede rettigheter på nasjonalt nivå. Til dette er «glemt passord»-funksjonen i systemet blitt utnyttet. Hendelsen ble oppdaget av MDGs IT-leverandør, UniCore. Serveren for både Bergen MDG og nasjonalt medlemsregister befinner seg i et hostingsenter. Unicore opplyser i e-post til MDG at hendelsen ville vært unngått dersom en løsning med tofaktor autentisering var blitt aktivert. Løsning med tofaktor ble umiddelbart aktivert etter hendelsen. Hendelsen er politianmeldt. Varsel om vedtak Dette er et varsel etter forvaltningsloven 16 om at Datatilsynet vil fatte følgende vedtak: 1. Miljøpartiet De Grønne pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 14 jf. forskriften 3-1 å etablere, dokumentere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 personopplysningsloven (internkontroll). 2. Miljøpartiet De Grønne pålegges i medhold av personopplysningsloven 46, fjerde ledd, jf. 13 jf. forskriften kapittel 2 å dokumentere informasjonssystemet og sikkerhetstiltakene. Varsel om overtredelsesgebyr Dette er et varsel etter forvaltningsloven 16 om at Datatilsynet vil fatte følgende vedtak: Miljøpartiet De Grønne pålegges i medhold av personopplysningsloven 46, første ledd, jf. 13 og 14, å betale et overtredelsesgebyr til statskassen, stort kroner femtitusen, 1. for ikke å ha utarbeidet et internkontrollsystem jf. personopplysningsloven 14, jf. forskriften 3-1, og uten å dokumentere tilfredsstillende informasjonssikkerhet jf. personopplysningsloven 13 jf. forskriften kapittel 2, 2. for ikke å ha gjennomført og dokumentert en risikovurdering for å klarlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd, jf. forskriften 2-4 annet og fjerde ledd, 3. for ikke å ha truffet tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, jf. forskriften 2-11, og 4. for ikke å ha iverksatt sikkerhetstiltak for å hindre uautorisert bruk av informasjonssystemet, jf. forskriften 2-14 Overtredelsesgebyret forfaller til betaling fire uker etter at vedtaket er endelig. Vedtaket er tvangsgrunnlag for utlegg. Inndrivelse av kravet vil bli gjennomført av Statens innkrevingssentral, jf. personopplysningsloven 47a. Datatilsynets begrunnelse Kravet til internkontroll Et viktig formål bak personopplysningsloven er å ansvarliggjøre virksomheter for deres behandling av personopplysninger. Loven regulerer ikke bare hvem som er behandlingsansvarlig, men gir også nærmere pålegg om hvordan behandlingsansvaret skal ivaretas. Plikten til å etablere internkontroll er et slikt pålegg: Gjennom planlagte og systematiske tiltak skal den behandlingsansvarlige sette seg selv i stand til å sikre, kontrollere og dokumentere at virksomheten til enhver tid etterlever personopplysningslovens bestemmelser. Et internkontrollsystem skal tilpasses den enkelte virksomhet ut fra type virksomhet, størrelse og behandlingen(e)s art og omfang, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1. Internkontrollplikten innebærer at den behandlingsansvarlige skal ha kjennskap til gjeldende regler om behandling av personopplysninger, og ha dokumenterte rutiner for oppfyllelse av plikter og rettigheter etter personopplysningsregelverket. Internkontrollplikten er først overholdt når rutinene er implementert, slik at de i praksis ligger til grunn for virksomhetens behandling av personopplysninger. 2

3 Kravet om at internkontrollen skal være dokumentert og systematisk er også viktig for å sette den behandlingsansvarlige i stand til å implementere rutiner. I tillegg til at det er en legal plikt til å dokumentere tiltakene, er det etter vår oppfatning også av avgjørende betydning for å sikre at rutiner kan gjenfinnes og kommuniseres enhetlig internt i en organisasjon, i tillegg til overfor tilsynsmyndigheten. MDG opplyser i e-post av 1. september 2016 at arbeidet med internkontroll og skriftlig dokumentasjon ble påbegynt tidlig på våren 2016, for så å bli utsatt. Etter avviket er arbeidet tatt opp igjen og gitt høy prioritet. Datatilsynet konstaterer at det på avvikstidspunktet ikke var etablert et internkontrollsystem eller dokumentert tilfredsstillende informasjonssikkerhet iht. personopplysningsloven 13 og 14. Kravet til dokumentasjon av informasjonssikkerheten Personopplysningsloven 13 stiller krav om at informasjonssystemet og sikkerhetstiltakene skal dokumenteres. Hva dette innebærer framgår nærmere av forskriften kapittel 2. Hovedmålet er at den behandlingsansvarlige og databehandler skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Hovedansvaret for dette ligger på den behandlingsansvarlige. Datatilsynets vurdering av overtredelsesgebyr Datatilsynet mener det er nødvendig å reagere på lovovertredelsene som er beskrevet over. I medhold av personopplysningsloven 46 kan Datatilsynet ilegge overtredelsesgebyr. Vi siterer fra bestemmelsen: Datatilsynet kan pålegge den som har overtrådt denne loven eller forskrifter i medhold av den, å betale et pengebeløp til statskassen (overtredelsesgebyr) på inntil 10 ganger grunnbeløpet i folketrygden. Fysiske personer kan bare ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll. Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på a) hvor alvorlig overtredelsen har krenket de interesser loven verner, b) graden av skyld, c) om overtrederen ved retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen, d) om overtredelsen er begått for å fremme overtrederens interesser, e) om overtrederen har hatt eller kunne ha oppnådd fordel ved overtredelsen, f) om det foreligger gjentakelse, g) om andre reaksjoner som følge av overtredelsen blir ilagt overtrederen eller noen andre som har handlet på vegne av denne, blant annet om noen enkeltperson blir ilagt straff og h) overtrederens økonomiske evne. 3

4 Bestemmelsen gir i utgangspunktet anvisning på at ileggelse av overtredelsesgebyr beror på en skjønnsmessig helhetsvurdering, men annet ledd legger føringer på skjønnsutøvelsen ved å trekke frem momenter som skal ha særlig vekt. Adgangen til å ilegge overtredelsesgebyr er gitt som et virkemiddel for å sikre effektiv etterlevelse og håndhevelse av personopplysningsloven. Internrettslig er overtredelsesgebyr ikke å anse som en straff, men en administrativ sanksjon. Det må imidlertid antas at overtredelsesgebyr er å anse som straff etter EMK (den europeiske menneskerettighetskonvensjonen) art 6, og i samsvar med Høyesteretts praksis, jf Rt 2012 side 1556 med videre henvisninger. Datatilsynet legger derfor til grunn at det kreves klar sannsynlighetsovervekt for lovovertredelse for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge overtredelsesgebyr er vurdert med utgangspunkt i dette beviskravet. Datatilsynet finner det klart at MDG har behandlet sensitive personopplysninger på en måte som er i strid med lov, jf personopplysningsloven 13 (mangelfull informasjonssikkerhet) og 14 (mangelfull internkontroll). I vurderingen av om overtredelsesgebyr skal ilegges, legger Datatilsynet særlig vekt på at overtredelsene betydelig har krenket grunnleggende interesser som loven verner, jf. 46 annet ledd bokstav a. Loven verner om grunnleggende personverninteresser som den personlige integritet og privatlivets fred, jf. lovens 1. Loven og forskriften stiller konkrete krav for å sikre at behandlingsansvarlig har et minimum av foranstaltninger på plass nettopp for å sikre at personopplysninger ikke kommer på avveier. Plikten fremkommer av reglene i seg selv. Medlemmene har en klar beskyttelsesverdig interesse i at opplysninger om dem blir behandlet på en sikker måte. Det skal derfor treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, se forskriften Slik uautorisert tilgang kan få alvorlige konsekvenser for den enkelte både fordi omgivelsene får tilgang til informasjon som den registrerte ikke selv har valgt å gjøre kjent, men også fordi hendelsen gjør det uforutsigbart hvor mange som har skaffet seg informasjonen. Allmennpreventive grunner og hensynet til at reglene skal ha effekt og virke etter sin hensikt, taler da med styrke for at det reageres med et virkemiddel som overtredelsesgebyr. Forskriftens 2-4 andre ledd krever at den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for, og konsekvenser av, sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. I skjerpende retning legges det vekt på at MDG ikke har risikovurdert behandlingen av personopplysninger, slik forskriften 2-4 forutsetter. Medlemsregisteret til MDG inneholder sensitive personopplysninger, jf. personopplysningsloven 2 nr. 8. Medlemskap i et politisk parti legger vi til grunn er å tilkjennegi en politisk oppfatning. Dette vises også ved at stortingsvalg og fylkes- og kommunevalg er hemmelige. Dette er en personlig oppfatning som må følges opp av sikkerhetstiltak. Dette gjøres gjennom en analyse av hva som kan skje risikovurdering. Datatilsynet mener at mangelfulle sikkerhetstiltak øker sannsynligheten for sikkerhetsbrudd. 4

5 Konsekvensen kan være svært alvorlig for de som rammes av dette. I e-post av 1. september 2016 opplyser MDG at det ikke har vært foretatt en egen risikovurdering av personopplysningene i forkant av avviket. En gjennomført risikovurdering ville ha satt MDG i stand til å se sannsynligheten for en hendelse og konsekvensen av den. Manglende risikovurdering har også som følge at det ikke er blitt utarbeidet kriterier for akseptabel risiko forbundet med behandlingen av personopplysningene. Datatilsynet legger videre vekt på at MDG er å bebreide når det gjelder det som har skjedd jf. 46 annet ledd bokstav b. For å opprettholde tillitsforholdet mellom MDG og medlemmene er forventningen at MDG setter seg grundig inn i personopplysningsregelverket og etablerer gode rutiner for å sikre etterlevelsen av det. I en uttalelse fra databehandleren (UniCore) heter det: «Det er tydeleg at hendinga ville ha vore unngått dersom to-faktor var aktivert hjå dykk, som det no er. Andre tiltak vi iverksetter denne veka, inkludert låsing av kontoar kor det er forsøkt å få tilgang fleire gongar og låsing av oppdatering av kontaktinfo for superbrukarar av andre enn den personen sjølv, vil og leggje på mange ekstra lag sikkerhetslag som andre system ikkje har.» MDG har heller ikke iverksatt tekniske tiltak som kunne ha forebygget overtredelsen, f.eks. ved bruk av tofaktor (sterk autentisering), jf. 46 bokstav c). Hele medlemsregisteret ligger på samme server. Dette inkluderer også lokale varianter av registeret. Tilgangen til registeret er delt opp organisatorisk etter «need to know»-prinsippet. Tilgangen har skjedd ved at inntrengeren har kommet seg inn i systemet via «glemt passord»- funksjonen, og derfra kommet oppover i systemet til vedkommende fant en bruker med utvidede rettigheter på nasjonalt nivå. Inntrengeren har fått tilgang til MDG sin server pga. manglende sikkerhetstiltak. Dette skulle vært avdekket i en risikovurdering. I dette tilfellet innrømmes det at en løsning med «to faktor» ville hindret inntrengingen. Manglende sikkerhetstiltak har medført at inntrengeren har fått tilgang til hele medlemsregisteret i MDG. Gjennom denne tilgangen har inntrengeren sendt ut e-poster og SMS er til aktive medlemmer. Inntrengeren har også lastet ned medlemslisten i Excel-format. Hva som har skjedd med den nedlastede medlemslisten er uavklart. Ved en slik «blottstilling» av medlemsregisteret oppstår også fare for at personopplysninger kan bli endret utilsiktet. Datatilsynet konstaterer at avviket skjedde fordi det ikke var gjort nødvendige og tilstrekkelige sikkerhetstiltak i informasjonssystemet, jf og Slike sikkerhetstiltak kan gjøres på forskjellige måter, men Datatilsynet kan ikke se at dette har vært vurdert av MDG. Det kan ikke statueres gjentakelse direkte i og med at dette er første gang dette påpekes overfor kommunen, jf. 46, fjerde ledd bokstav f. Overtrederens økonomiske evne er det i liten grad lagt vekt på, jf. 46, fjerde ledd bokstav g. 5

6 Datatilsynet kan ikke se at de øvrige momenter som loven fremhever gjør seg gjeldende i nevneverdig grad verken i skjerpende eller formildende retning. Gebyrets størrelse Når det gjelder gebyrets størrelse, skal de samme momenter som ved vurdering av om gebyr skal ilegges, tillegges særlig vekt. De forhold Datatilsynet har pekt på ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen og virksomheten. Det er særlig sett hen til at dette avviket omfatter sensitive personopplysninger. Dette taler for en streng reaksjon. Videre har vi sett på den generelle forventning medlemmene skal kunne ha til at et politisk parti følger de regler som er gitt, og særlig de som gir enkeltindivider rettigheter som er ment å være en beskyttelse mot utlevering av denne typen opplysninger. Det er ikke tvilsomt at opplysningene er taushetsbelagte, og MDG burde ha utferdiget bedre systemer for å sikre så sensitiv informasjon. Signalvirkningen av denne saken, de allmennpreventive hensyn, mener vi er tydelige i denne saken. Vi ønsker å tydeliggjøre at slike hendelser ikke må skje. Mangelfulle rutiner har ofte som konsekvens at risikoen for feil øker. I denne saken har svake rutiner faktisk hatt en reell konsekvens som også tilsier en skjerpet reaksjon. I formildende retning er det tatt hensyn til at MDG selv meldte avviket til Datatilsynet. Etter en totalvurdering av saken og da særlig sett hen til alvorligheten i overtredelsen har vi kommet til at et overtredelsesgebyr på anses riktig. Tilsvar Eventuelle merknader til foreliggende varsel bes sendt Datatilsynet snarest, og senest innen torsdag 1. desember Med vennlig hilsen Bjørn Erik Thon direktør Knut Kaspersen fagdirektør 6

7 7