Endelig kontrollrapport

Transkript

1 Saksnummer: 12/00176 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Kåfjord kommune Sted: Kåfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte en kontroll med Kåfjord kommune utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Kontrollen ble Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på kommunens besøksadresse, Øverveien 2 i Kåfjord. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Einar Pedersen, rådmann - Jan-Oluf Myrvoll, it-konsulent/ansvarlig - Karin Karlsen, leder for arbeidsgruppe informasjonssikkerhet og internkontroll - Einar Eriksen, utvikler - Greta Larsen, servicee it 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, tilsyn- og sikkerhetsavdelingen 3 Generelt Kåfjord er en langstrakt kommune nord i Troms fylke med ca innbyggere. Kåfjord er en av seks kommuner i Nord-Troms som har inngått felles interkommunaltt samarbeid om utvikling av blant annet en felles IKT plattform, herunder infrastruktur og prosesstøtteløsninger i kommunen. 1 Kåfjord er valgt som felles datasenter for kommunene, Storfjord, Lyngen, Skjervøy, Nordreisa og Kvænangen. Kommunen ledes av rådmann. 1 Strategisk IKT plan for kommunene Storfjord, Lyngen, Kåfjord, Nordreisa, Skjervøy og Kvænangen for periode av 10

2 1 Oversendelse av dokumentasjon Datatilsynet ba i varselet om tilsyn av 20. februar 2012 om at kommunen oversendte følgende dokumentasjon: a) Oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) Styrende dokumenter for internkontroll jf. personopplysningsforskriftens 3-1 ledelsesforankring, c) Oversikt over personopplysninger som behandles jf. personopplysningsforskriftens 2-4, første ledd, d) Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart, e) Risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) Avviksrutiner, jf. personopplysningsforskriftens 2-6, g) Navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart Dokumentasjonen ble sendt Datatilsynet i forkant. En detaljert agenda ble oversendt kommunen i forkant av tilsynet. 2 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kommunen har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. 2 Kontrollen startet med et innledende møte, med en overordnet gjennomgang av kommunens behandlinger av personopplysninger og dens internkontrollsystem. Kontrollen hadde fokus på følgende forhold: Internkontroll og ledelsesforankring jf. personopplysningsforskriftens 3-1 og 2-3 Sikkerhetsledelse, Oversikt over personopplysninger som behandles, jf. personopplysningsforskriftens 2-4, første ledd, Risikovurdering, jf. personopplysningsforskriftens 2-4, annet ledd. Avvikshåndtering, jf. personopplysningsforskriftens 2-6, 2 Oversikt over personopplysninger som behandles i Kåfjord kommune. 2 av 10

3 Databehandlerrelasjoner, jf. personopplysningslovens 15, samt forskriftens Funn og avvik fra lovbestemte krav til behandling av personopplysninger 3.1 Internkontroll Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 7. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet Ansvarsforhold etter loven behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 7.2. Faktiske forhold Det fremgår av, Retningslinjer for informasjonssikkerhet i Kåfjord kommune av 2003, punkt 2 Organisatorisk sikring og 2.1 Ansvar for sikkerheten, at Rådmannen har det overordnede juridiske ansvaret for informasjonssikkerhet i kommunen. 3 av 10

4 Det er her videre beskrevet at det skal etableres en funksjon som sikkerhetskoordinator organisert direkte under rådmannen, ref. vedlegg 6. Som oppfølging av kommunens videre arbeid med internkontroll og informasjonssikkerhet er det opprettet en arbeidsgruppes med følgende oppdrag: 3 Legge opp til og lede gjennomføringen av en ny risiko- og sårbarhetsanalyse Sluttføre arbeidet med sikkerhetshåndboken Utvikle en stillingsbeskrivelse til sikkerhetsansvarlig Planlegge implementering av sikkerhetshåndboken i Kåfjord kommunes tjeneseteapparat samt politiske organer. Arbeidsgruppen skal bistå kommunens administrative lederapparat i iverksettelsesforløpet Frist for gjennomføring av alle punktene er satt til 1. juni Videre benytter kommunen flere databehandlere, jf. personopplysningslovens 2 nr. 5. Delkonklusjon Behandlingsansvar og organisering av sikkerhetsarbeidet fremsto som tilfredsstillende og fremkom av kommunens styrende dokumenter. 4 Det ble imidlertid avdekket at dokumentasjonen ikke var oppdatert siden Videre manglet det en klargjøring av ansvarsforhold ved bruk av databehandlere i de styrende dokumentene Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas, og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnkravene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved kommunens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til 3 Oppdatere Retningslinjer(Sikkerhetshåndbok) for informasjonssikkerhet i Kåfjord kommune m/sikkerhetsmål og sikkerhetsstrategi, 2003 og risikovurdering, Kåfjord kommune Retningslinjer(Sikkerhetshåndbok) for informasjonssikkerhet i Kåfjord kommune m/sikkerhetsmål og sikkerhetsstrategi, av 10

5 under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Faktiske forhold Kommunen hadde utarbeidet en tilfredsstillende oversikt over behandlinger av personopplysninger i kommunen og hvilke systemer de hadde. Oversikten var tilgjengelig i dokument, Oversikt over personopplysninger som behandles i Kåfjord kommune. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen ikke inneholder meldinger fra kommunen. 5 Delkonklusjon Datatilsynet anser oversikten over behandlinger for tilfredsstillende, men anbefaler kommunen å gjennomgå oversikten for å sikre at den er oppdatert og dokumenterer alle behandlinger av personopplysninger som foretas av kommunen. Det bemerkes at kommunen plikter å vurdere konsesjons- eller meldeplikt for de ulike behandlingene som foretas, samt gjennomføre risikovurderinger. Dette forutsetter en oppdatert oversikt Konklusjon Det ble avdekket mangler ved kommunens internkontroll etter personopplysningslovens 14. Det er behov or å revidere internkontrollen slik at styrende, gjennomførende og kontrollerende dokumenter oppdateres og tilpasses. Det fremstår som hensiktmessig at disse inngår som en del av sikkerhetshåndboken til Kåfjord kommune. Datatilsynet understreker særskilt behovet for at arbeidsgruppen som er opprettet av kommunens ledelse får gjennomført sitt arbeid innen fristen 1. juni. Se også rapportens kapitel Det fremgår av personopplyningsloven 33 jf. 31 Meldeplikt, at den behandlingsansvarlige skal gi melding til Datatilsynet senest 30 dager før behandling av personopplysninger med elektroniske hjelpemidler tar til. Eventuelle fritak fra meldeplikten følger av personopplysningsforskriftens kapittel 7. 5 av 10

6 3.2 Krav om informasjonssikkerhet Generelt I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som det ble informert om under kontrollen. På tidspunktet for kontrollen var kommunens dokumentasjon, Retningslinjer(Sikkerhetshåndbok) for informasjonssikkerhet i Kåfjord kommune m/sikkerhetsmål og sikkerhetsstrategi av desember 2003, ikke oppdatert, implementert eller tilgjengelig for ansatte i kommunen. Datatilsynet var usikkert på hvilken status dokumentasjonen faktisk hadde. Det ble opplyst om at det med utgangspunkt i kommunens dokumentasjon fra 2003 var opprettet en arbeidsgruppe som skal bistå med oppdatering av internkontroll og informasjonssikkerhet, se rapportens punkt Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres Risikovurdering generelt Faktiske forhold Det fremkommer av kommunen dokumentasjon at risikovurderinger er gjennomført i perioden 19. november til 2. desember Målet for risikovurderingen var å avdekke mulige sikkerhetsmessige svakheter knyttet til systemtekniske, fysiske og organisatoriske sikkerhetsforhold ved kommunens tjenestesteder. Som en del av risikovurdering ble det utarbeidet en oversikt over alle registre/behandlinger av personopplysninger, også manuelle, som benyttes i kommunen. 6 Kåfjord kommune Risikovurdering/datasikkerhet desember av 10

7 Siden 2003 har kommunen foretatt blant annet store endringer i form av oppgraderinger og ny funksjonalitet i infrastruktur som etter tilsynets vurdering mangler en dokumentert risikovurdering. 7 Konklusjon Det ble opplyst og verifisert at virksomheten hadde rutiner for risikovurdering, og at risikovurdering var gjennomført i Datatilsynet understreker viktigheten av å gjennomføre ny risikovurdering slik at denne sammenlignes med de fastlagte kriterier for akseptabel risikorisikofaktorer for kommunen, særskilt for kommunens utvikling og endring i infrastrukturen de senere årene, samt behandling av sensitive personopplysninger. 8 Manglende oppfølging av risikovurderinger regnes som et avvik etter personopplysningslovens 13 jf. personopplysningsforskriftens Risikovurdering Datasenter i Kåfjord Faktiske forhold I 2005 ble et felles interkommunalt samarbeid vedtatt for fem av seks kommuner i Nord- Troms. En felles driftsentral er plassert i Kåfjord kommune, hvor IKT personell fra deltakende kommuner drifter løsningen i fellesskap. Det er opprettet to sikkerhetsansvarlig i henholdsvis Skjervøy og Nordreisa kommune. Tilsynet ble gjort kjent med at det i 2005 ble utarbeidet en strategisk IKT plan for kommunene Storfjord, Lyngen, Kåfjord, Nordreisa, Skjervøy og Kvænangen. 9 Det fremgår av IKT - planen at: Samordning og utvikling av felles IKT - plattform, herunder infrastruktur (servere/pc/kommunikasjon/sikkerhet/drift) og prosesstøtteløsninger(systemer innenfor økonomi/lønn/helse/sosial/barnevern/sak/arkiv osv.), vil være en meget viktig premissgiver for flyt av informasjon og samhandling mellom kommunene. Nord-Troms kommunene har brukt edb-baserte systemer siden midten av 80-tallet, og systemene har vært gjennom flere oppdateringer og endringer i løpet av de siste årene. I tidens løp har valgene av systemer i de forskjellige kommunene vært forskjellig. En samordning av alle fagsystemer vil være et stort og omfattende arbeid. Det ble opplyst at flere av fagsystemene, eksempelvis barnevern, sosialtjenesten, PLOmeldinger og saksbehandling og IOP er flyttet til datasentret i Kåfjord. Det var på kontrolltidspunket ukjent om det forelå en oppdatert IKT plan og handlingsplan for kommunene. 7 Referanse til Sak 0033/05 Interkommunalt samarbeid etablering av felles datasenter, side 19 Vi har hatt de samme sosiale og banevernssystemene siden Arbeidsstasjonene og serverne til sosialkontoret er pr. i dag gått ut på dato. Utstyret fra 1998 viser tydelig tegn på slitasje. En investering i servere for sosialkontoret vil også måtte vurderes. 8 Viser til systemoversikt IT-Kåfjord kommune (grunnleggende). 9 Strategisk IKT plan for kommunene Storfjord, Lyngen, Kåfjord, Nordreisa, Skjervøy og Kvænangen for perioden av 10

8 Konklusjon Det ble opplyst og verifisert at virksomheten ikke hadde gjennomført risikovurdering av felles datasenter i Kåfjord siden opprettelsen i Datatilsynet påpeker viktigheten av å gjennomføre ny risikovurdering i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. Særskilt for endringer som er utført i infrastruktur og kommunikasjon mellom kommunene og datasenteret i Kåfjord. Se også rapportens punkt Manglende oppfølging av tiltak og gjennomføring av risikovurdering regnes som et avvik etter personopplysningslovens 13 jf. personopplysningsforskriftens Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde rutiner for rapportering av avvik etter HMS, men manglet etterlevelse for rapportering av avvik innenfor personvern. Datatilsynet anbefaler at rutinen for avvik slik den er dokumentert i Retningslinjer(Sikkerhetshåndbok) for informasjonssikkerhet i Kåfjord kommune m/sikkerhetsmål og sikkerhetsstrategi, 2003 og punkt Avviksbehandling, bringes i samsvar med hvordan det faktisk skal utøves i virksomheten, og at det sikres at denne fungerer etter sin hensikt. Tilsynet avgrenser seg til å minne om nevnte plikt Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og konklusjon Kommunen erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i kommunen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. Datatilsynet anbefaler at 8 av 10

9 arbeidsgruppen som er opprettet av kommunens ledelse, inkluderer tiltak for opplæring i sitt videre arbeid med internkontroll og informasjonssikkerhet. Se også rapportens kapitel Databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til avtale med kommunen. Faktiske forhold Det ble opplyst at kommunen benyttet leverandører som behandler personopplysninger på vegne av kommunen. Videre er samarbeidet mellom kommunene hvor personopplysningene lagres på server i felles datasenteret i Kåfjord kommune, å betrakte som en databehandler og utløser dermed kravet om databehandleravtale. Databehandleravtaler ble ikke påvist under kontrollen. Datatilsynet viste til tilsynets veileder, Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak 9 av 10

10 Konklusjon Det ble ikke dokumentert at det var opprettet databehandleravtaler med kommunens samarbeidspartnere og mellom kommunene som inngår i datasenteret i Kåfjord. Manglende avtaler, gjennomgang og oppdatering av databehandleravtaler anses som avvik fra kravene som stilles i personopplysningslovens 15 jf. personopplysningsforskriftens Dersom det allikevel forligger databehandlere for virksomheten krever regelverket at avtalen tilfredsstiller kravene i personopplysningslovens 15 jf av 10