Endelig kontrollrapport

Transkript

1 Saksnummer: 14/01435 Dato for kontroll: Foreløpig rapport: Endelig rapport: Endelig kontrollrapport Kontrollobjekt: TUI Norway Holding AS Sted: Stabekk Utarbeidet av: Knut B. Kaspersen Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos TUI Norway Holding AS den 13. januar Kontrollen ble utført med hjemmel i 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om reisearrangørens behandling av personopplysninger om sine kunder er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å se på reisearrangørens plikt til å ha internkontroll. Vi la vekt på plikten til å sørge for god nok sikring av opplysningene (informasjonssikkerhet) og om reisearrangøren hadde rutiner for hvordan personopplysningene behandles. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Usman Fareed Jasrae, Manager Tactical Sales NO - Arne Häusler, Business Controller - Mette Thorud, Manager, Quality Development, Claims & Operation TUI Nordic - Steinar Lindvall, Systemutviklingsspesialist - Stefan Eriksson, IT Security Officer 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Martha Eike, senioringeniør 1 av 11

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at virksomheten skulle oversende følgende dokumentasjon: Oversikt over virksomhetens organisering, for eksempel organisasjonskart Rutiner for når det må innhentes samtykke fra kunder for behandling av personopplysninger. Rutiner for informasjon til kunder om hvilke opplysninger som lagres i deres IKTsystem. Rutiner for innsyn i opplysninger som er lagret i deres IKT-system og ved bruk av deres nettsider. Rutiner for når personopplysninger skal slettes. Risikovurderinger av IKT-system og nettsider. Rutiner for informasjonssikkerhet: a) Oversikt over informasjonssystemets utforming, for eksempel et systemkart b) Beskrivelse av tilgangsstyring til de ulike IKT-systemene c) Sikkerhetsrutiner d) Driftsrutiner Databehandleravtale med leverandører av IKT-system. Følgende dokumenter ble sendt Datatilsynet 9. januar 2015: One Nordic 2 0 Marketing and DO (1) cww (5) with updated in other areas Kundeinformasjon ved bestilling PUL flow Rules for data retention CRS & LIME Information Security description Security Target Operating Model TUI Nordics, TUI Nordics ITGC Example from agreement Customer consent (Norway) Skjermdumper fra bestillingsdialogen og Min reise Etter kontrollen ble følgende dokumenter sendt Datatilsynet: Presentasjon av TUI Norway Holding AS En detaljert agenda ble oversendt virksomheten på e-post før kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 11

3 Under kontrollen ble virksomhetens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om virksomheten hadde kontroll på følgende: Hvilke opplysninger registreres i forbindelse med bestilling av reiser, og ved bruk av reisearrangørens nettsider og IKT-system (jf. 14 og forskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av IKT-system, jf. 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. forskriften 2-3 Risikovurdering, jf. forskriften 2-4 annet ledd 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Virksomheten opplyste på kontrollen at Star Tour Stjernereiser v/styret ved dets styreleder som var behandlingsansvarlig. For tiden ville det være finansdirektøren for Norge. Det var ikke tydeliggjort i dokumentasjon hvor behandlingsansvaret lå. At det ikke er dokumentert hvem behandlingsansvaret er delegert til i organisasjonen er et avvik fra 13 jf. forskriften av 11

4 5.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Virksomheten hadde ingen dokumentert oversikt over hvilke personopplysninger som ble behandlet. For kundene framgår dette i CRS- basen, og for de ansatte i personalarkivet. Opplysningene er ikke systematisert på en måte som er nødvendig for å oppfylle lovens krav. Vi viser her til Datatilsynets «En veiledning om internkontroll og informasjonssikkerhet» for videre informasjon. Se særlig side 13 hvor det er vist et eksempel i matriseform. Det er et avvik etter 13, jf. forskriften 2-4 at det ikke er laget noen oversikt over hvilke personopplysninger som behandles i virksomheten Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis. 4 av 11

5 Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : I virksomhetens personvernerklæring på nett er det gitt en veiledning om hvordan kunden skal gå fram for å få innsyn i opplysninger opp seg selv. Denne er tilfredsstillende; men det bør også lages en tilsvarende veiledning for innsyn i personalarkivet. Virksomheten har ikke laget noen dokumentert rutine for ivaretakelse av borgerens krav på innsyn etter 18 første ledd. De dokumenterte rutinene for innsyn er mangelfulle. Det er bare laget en rutine i forhold til kundens bestillinger. Dette er ikke tilfredsstillende. Vi viser til det som er nevnt under pkt Manglende dokumenterte rutiner for ivaretakelse av 18, første og annet ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 første ledd bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 5 av 11

6 Unntak fra informasjonsplikten følger av 19 siste ledd og 23. I personvernerklæringen på nett er det gitt informasjon om at virksomheten kan komplettere og oppdatere kundens personopplysninger gjennom private og offentlige registre. Når kunden bestiller reisen gis det informasjon om hva opplysningene skal brukes til, bl.a. at de vil bli utlevert til relevant samarbeidende flyselskap og hotell. Det finnes ingen dokumentert informasjon i forhold til ansatte. Informasjonen til kunden er upresis. Den gir inntrykk av at virksomheten har en blancofullmakt til å innhente personopplysninger fra alle private og offentlige virksomheter. For at informasjonen skal bli tilfredsstillende må det spesifiseres hvilke behandlinger som skjer, f.eks. vasking mot folkeregisteret. Manglende dokumenterte rutiner for ivaretakelse av 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1første ledd bokstav d) Sletting I henhold til 11 e, jf. 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. I virksomhetens personvernerklæring på nett er det informert om at opplysningene vil bli oppbevart i tre år i CRS-databasen. Hvis kunden ikke ønsker slik lagring må dette opplyses skriftlig. De dokumenterte rutinene i forbindelse med sletting av kundens bestilling er tilfredsstillende. Det er imidlertid ikke laget noen tilsvarende rutine for ansatte. Manglende dokumenterte rutiner for ivaretakelse av 27 og 28 i forhold til ansatte er et avvik etter 14 jf. forskriften 3-1 første ledd bokstav c). 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 11

7 Melding/konsesjon Rettslig grunnlag I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. og vurdering Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33. At det ikke er utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33 er et avvik etter 14, jf. forskriften 3-1, tredje ledd bokstav f). 5.2 Krav om informasjonssikkerhet I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumentert. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig viser vi til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Under kontrollen var det ingen som visste om de hadde etablert sikkerhetsmål og -strategi. De skulle se om det var noe om det i IT-strategien og ettersende. I etterkant av kontrollen fikk vi vite at det ikke fantes noe dokumentasjon på sikkerhetsmål og -strategi. Det er et avvik etter 13, jf. forskriften 2-3 at det ikke er dokumentert sikkerhetsmål og sikkerhetsstrategi. 7 av 11

8 Sikkerhetsorganisasjon De har en IT-sikkerhetsleder og en annen som er ansvarlig for Health & Security. ITsikkerhetsleder er plassert under IT-sjefen. Daglig leder skal ha ansvaret for at bestemmelsene i kapittel 2 i forskriften følges. Her er noe ansvar plassert på IT-sikkerhetsleder, men vi kan ikke se at det er en tydelig ansvarsplassering for informasjonssikkerheten for personopplysninger. Det er et avvik etter 13, jf. forskriften 2-3 og 2-7 at daglig leder ikke har tatt ansvar for at kapittel 2 i forskriften følges og at det ikke er etablert klare ansvars- og myndighetsforhold for bruk av informasjonssystemet Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Det gjøres en vurdering av risiko for hele virksomheten, som rapporteres kvartalsvis til daglig leder. Daglig leder konsoliderer og rapporterer videre til ledelsen. Det er ikke blitt gjort risikovurdering av informasjonssystem som inneholder personopplysninger. Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik etter 13, jf. forskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. forskriften av 11

9 Det gjøres ekstern revisjon av virksomheten. Det er ikke gjennomført sikkerhetsrevisjon slik det fremgår av kravene i forskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik etter 13, jf. forskriften Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Det finnes rutiner for hendelseshåndtering, men ingen rutiner for avvikshåndtering slik det fremgår i av kravene i forskriften. Manglende rutine for avvikshåndtering er et avvik etter 13, jf. forskriften Sikkerhetstiltak 13, jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Det er etablert en rekke sikkerhetstiltak, som er dokumentert i eget dokument. Det er tilgangsstyring på systemene som inneholder personopplysninger, slik som CRS- og CRMsystemene. For å få tilgang til opplysningene om en kunde, må man vite bookingnummer og e-postadresse. Det går ikke an å søke på navn. Det er etablert rutiner for å unngå at uvedkommende får tilgang. Det er etablert to uavhengige sikkerhetstiltak for at de ansatte skal få tilgang til kundenes opplysninger. For at de ansatte skal ha ekstern tilgang brukes det VPN med to sikkerhetsfaktorer med sertifikat og innlogging på AD. De ansatte må bruke 9 av 11

10 virksomhetens pc er for å få tilgang. Deretter er det ny innlogging i CRS. Kryptert harddisk på laptop. Systemene ligger på to fysiske datasentre. Det er rutiner for håndtering av backup, samt rutiner for business continuity og disaster recovery. Det blir gjort logging i brannmur for å ivareta sikkerheten. Nettet beskyttes med hensyn til tilgjengelighetsaspektet. Virksomheten har adgangskontroll, med bruk av PIN-kode utenom arbeidstid. Automatisk sletting etter 7 dager. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Virksomheten har enkelte sikkerhetstiltak på plass. Det at de ikke har gjennomført og dokumentert risikovurdering av informasjonssystemet, kan tyde på at det finnes trusler og tiltak de ikke har tatt høyde for når informasjonssystemet er satt opp og under drift. Vi mener at virksomheten må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i forskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra 13, jf. forskriften Opplæring Rettslig grunnlag I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. De har veletablerte rutiner og de fleste ansatte har jobbet der i mer enn 15 år. Det er få som har laptop og ekstern tilgang. Når det er etablert sikkerhetsmål og -strategi, gjennomført risikovurderinger og dokumentert sikkerhetstiltak, bør virksomheten gi opplæring i bruk av informasjonssystemet i samsvar med de rutiner som er fastlagt. Manglende opplæring av de ansatte er et avvik etter 13, jf. forskriften av 11

11 5.3 Databehandlere En databehandler er i 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Det er ingen virksomheter som behandler personopplysninger på vegne av virksomheten. Datatilsynet har ikke konstatert avvik. 11 av 11