Endelig kontrollrapport

Transkript

1 Saksnummer: 12/00178 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll med Lyngen kommune Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Leif Egil Lintho, rådmann - Svein Samuelsen, IT-ansvarlig - Tord Corneliussen, IKT-veileder - Åse Henriksen, Fagleder arkiv - Lisbeth Årsand, personalkonsulent 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Lyngen kommune ledes av rådmannen. Lyngen er en liten kommune med i overrkant av 3000 innbyggere, med 400 ansatt i kommunen. Lyngen omtales som alpelandsbyen ved havet. Organisasjonsmessig er kommunen bygd opp etter enhetsmodellen, men er inne i en prosess for utvikling av en etatsmodell. Dette er en samarbeidskommune, og deler tjenester med andre kommuner. Samarbeidet er imidlertid ikke så omfattende som mellom de andre kommunene. For eksempel har ikke Lyngen gjort bruk av tjenestene til Kåfjord som databehandler fullt ut. Det er bare i forhold til behandling av personopplysninger i åpen sone hvor Lyngen har et samarbeid med Kåfjord kommune. Kommunen gjør bruk av to-sone modellen. 1 av 7

2 Sikkerhetsboken ble utferdiget i 2006; og en sikkerhetsrevisjon ble gjennomført i Oversendelse av dokumentasjon Datatilsynet ba i varselet om tilsyn av 20. februar 2012 om at kommunen oversendte følgende dokumentasjon: a) Oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) Styrende dokumenter for internkontroll jf. personopplysningsforskriftens 3-1 ledelsesforankring, c) Oversikt over personopplysninger som behandles jf. personopplysningsforskriftens 2-4, første ledd, d) Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart, e) Risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) Avviksrutiner, jf. personopplysningsforskriftens 2-6, g) Navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart Dokumentasjonen ble sendt Datatilsynet i forkant. En detaljert agenda ble oversendt kommunen i forkant av tilsynet. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kontrollen startet med et innledende møte, med en overordnet gjennomgang av kommunens behandlinger av personopplysninger og dets internkontrollsystem. Kontrollen hadde fokus på følgende forhold: Internkontroll og ledelsesforankring jf. personopplysningsforskriftens 3-1 og 2-3 Sikkerhetsledelse, Oversikt over personopplysninger som behandles, jf. personopplysningsforskriftens 2-4, første ledd, Risikovurdering, jf. personopplysningsforskriftens 2-4, annet ledd. Avvikshåndtering, jf. personopplysningsforskriftens 2-6, Databehandlerrelasjoner, personopplysningslovens 15, samt forskriftens av 7

3 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Kommunen opplyste at rådmannen er å anse som behandlingsansvarlig. Dette framgår også av sikkerhetshåndboka. Dette er imidlertid ikke i tilstrekkelig grad implementert i kommunen. Kommunen har en plikt etter personopplysningsforskriftens 2-8 å gjøre disse rutinene kjent overfor de ansatte. Delkonklusjon Selv om det fremgår av sikkerhetshåndboka at rådmannen er behandlingsansvarlig er det et avvik at behandlingsansvaret ikke i tilstrekkelig grad er implementert i kommunen. 3 av 7

4 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnkravene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Kommunen har ikke utferdiget en oversikt over hvilke personopplysninger som behandles i kommunen. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen ikke inneholder meldinger fra kommunen. Det bør framkomme i kommunens oversikt over hvilke personopplysninger som behandles i kommunen hvorvidt behandlingen er konsesjonspliktig, meldepliktig eller fritatt slike plikter Delkonklusjon Manglende oversikt over hvilke personopplysninger som behandles i kommunen er et avvik i forhold til personopplysningsforskriftens 2-4 første ledd Konklusjon Kommunen hadde ikke utferdiget en oversikt over hvilke opplysninger som behandles. Dette er et krav etter forskriftens 2-4. Ellers hadde kommunen i hovedsak interkontrollbestemmelser etter personopplysningslovens 14 på plass. Datatilsynet understreker imidlertid at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. Dette er å regne som et avvik etter forskriftens av 7

5 6.2 Krav om informasjonssikkerhet Generelt I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som det ble informert om under kontrollen. Sikkerhetsboka ble ferdigstilt i Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Det ble opplyst at virksomheten ikke hadde rutiner og ikke hadde gjennomført risikovurdering av informasjonssystemet. Datatilsynet påpekte imidlertid viktigheten av å gjennomføre risikovurderinger i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak særskilt i forhold til virksomhetens sensitive personopplysninger lagret i sikker sone og bruk av lagringsmedier, klipp og lim mellom sonene. Konklusjon Manglende risikovurderinger er et avvik etter forskriftens 2-4. Datatilsynet vil i denne anledning minne om at det skal fastsette kriterier for akseptabel risiko forbundet med all behandlingen av personopplysninger og gjennomføre risikovurderinger i henhold til personopplysningsforskriftens Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriftens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. 5 av 7

6 For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Kommunen har etablert rutiner for håndtering av avvik. Disse framgår av Sikkerhetshåndboka Vedlegg 7. Sikkerhetshåndboka finnes både manuelt og elektronisk på fellesområdet på server. Selv om det var dokumenterte rutiner for håndtering av avvik, så var disse ikke implementert i kommunen. Kommunen har en plikt etter personopplysningsforskriftens 2-8 til å gjøre disse rutinene kjent overfor de ansatte. Konklusjon Det er etablert rutiner for håndtering av avvik. At disse ikke er implementert i kommunen regnes som et avvik etter personopplysningsforskriftens Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. og konklusjon Kommunen erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i kommunen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 7 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. 6 av 7

7 Det ble opplyst at kommunen benyttet leverandører som behandler personopplysninger på vegne av kommunen, bl.a. gjennom Fronter. Datatilsynet viste til tilsynets veileder av , Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det var ikke opprettet databehandleravtaler med Fronter. Dette er et avvik i henhold til personopplysningslovens 15 og personopplysningsforskriften av 7