Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Transkript

1 Utlendingsnemnda Postboks 8175 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 12/ / /MEP 19. februar 2013 Dato Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet Det vises til Datatilsynets kontroll hos Utlendingsnemnda den 26. november 2012 og Datatilsynets varsel om vedtak av 18. desember Vurdering av tilsvar Datatilsynet har i brev av 1. februar d.å. mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som framkommer der: Ad. utkast til rapport UNEs kommentarer til foreløpig kontrollrapport er innarbeidet i endelig kontrollrapport. Endringene er imidlertid uten betydning for tilsynets vurderinger og de konklusjoner som ligger til grunn for varsel om vedtak. Ad. punkt 1 Systematisk oversikt over behandlinger UNE har i etterkant av oversendelse av varsel om vedtak og foreløpig kontroll utformet en systematisk oversikt over sin behandling av personopplysninger, jf. personopplysningsloven 11, 13 og 14, jf. personopplysningsforskriften 2-4 og 3-1. Datatilsynett er enig i at denne etterkommer lovens krav, og vil ikke fatte vedtak som varslet. Datatilsynet har imidlertid ikke i detalj vurdert innholdet i oversikten. Ad. punkt 2 - innsyn UNE har endret sin rutine for partsinnsyn. I denne rutinen har UNE inkludert regler for håndtering av innsyn etter personopplysningsloven 18. Dette dokumentett henviser de registrerte som ikke har sak til behandling hos UNE om å henvende seg til UDI. Registrerte som har saker til behandling hos UNE skal etter rutinen behandles hos UNE som partsinnsyn. Datatilsynet antar at UNEs rutine for partsinnsyn også gjelder for personer som tidligere har hatt saker i UNE som nå er arkivert og ikke kun saker som er til behandling på det aktuelle tidspunktet. Dersom dette er tilfelle aksepterer Datatilsynet UNEs tiltak og vil ikke fatte vedtak som varslet. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Ad. punkt 6 oversendelse av vedtak på usikret e-post UNE har endret sin praksis hva gjelder oversendelse av opplysninger med sterkt behov for konfidensialitetsbeskyttelse over usikret e-post. Dette er dokumentert i oppdaterte interne retningslinjer for klagesaksbehandlingen (oversendt Datatilsynet). Her framgår det at vedtak kan oversendes på e-post om det er kryptert. Det framkommer imidlertid ikke hvilken kryptering som anvendes, hvilke vurderinger som ligger bak UNEs valg av sikkerhetsnivå og akseptabel risiko. Datatilsynet vil påpeke den behandlingsansvarliges plikt til å gjøre en vurdering av akseptabel risiko, jf. personopplysningsforskriften 2-4. Datatilsynet vil ikke fatte vedtak som varslet Ad. punkt 7 - databehandleravtaler UNE har identifisert og oversendt databehandleravtaler med DFØ og WebCruiter. Datatilsynet slutter seg til UNEs syn om at disse tilfredsstiller kravene til databehandleravtale, jf. personopplysningsloven 15. Når det gjelder databehandleravtale med UDI bortfaller dette, da UDI ikke er databehandler for UNE som antatt. Datatilsynet vil ikke fatte vedtak som varslet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. UNE må dokumentere tilfredsstillende informasjonssikkerhet ved at det utarbeides risikovurdering i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Det vises til tilsynsrapportens avsnitt UNE må etablere system for sikkerhetsrevisjon i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til tilsynsrapportens avsnitt UNE må etablere tilstrekkelig informasjonssikkerhet knyttet til sin praksis med oversendelse av opplysninger med sterk behov for konfidensialitetsbeskyttelse over usikret e-post internt og med UDI, jf. personopplysningslovens 13, ref. personopplysningsforskriftens 2-4 og Det vises til tilsynsrapportens avsnitt UNE har i sitt svarbrev bedt om en frist til å lukke påleggene til utløpet av inneværende år. Dette framstår for Datatilsynet som en svært lang frist. Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. juli UNE må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 2

3 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Marius Engh Pellerud rådgiver Vedlegg: Endelig kontrollrapport 3

4 Saksnummer: 12/00994 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Utlendingsnemnda Sted: Utlendingsnemndas lokaler, Stenersgate 1B/C, Oslo. Utarbeidet av: Knut B. Kaspersen og Marius Engh Pellerud 1 Innledning Datatilsynet gjennomførte kontroll hos Utlendingsnemnda (UNE) 26. november Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen ble det gitt spesiell oppmerksomhet på nemndas plikter til å føre internkontroll samt sørge for tilfredsstillende informasjonssikkerhet for nemndas behandling av personopplysninger. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ingunn-Sofie Aursnes, direktør - Siri Johnsen, assisterende direktør - Brit Ida Norheim, seksjonssjef - Ketil Lundin, fungerende seksjonssjef - Marianne Jakobsen, avdelingsdirektør 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Hallstein Husand, seniorrådgiver - Marius Engh Pellerud, rådgiver 2.3 Observatør I tillegg deltok Øyvind Kruse fra Riksarkivet som observatør på møtet. Dette var varslet Utlendingsnemnda på forhånd. 3 Generelt Utlendingsnemnda (UNE) er klageorganet for saker der UDI er førsteinstans. UDI og UNE forvalter utlendingsloven og statsborgerloven. Dette innebærer saksbehandling av blant annet asylsaker, visumsøknader, utvisningssaker og statsborgerskapssaker. UNE er administrativt 1 av 12

5 underlagt Justisdepartementet, men har faglig uavhengighet. UNE har flere beslutningsnivåer i sin saksbehandling. Fra enkle beslutninger i sekretariatet til nemndmøter av ulik størrelse og sammensetning. Det fins 30 nemdlederne i UNE. Disse er faste ansatte med dommerkompetanse. I tillegg er UNE tilknyttet ca 370 nemdsmedlemmer som er lekfolk. Det er i dag ca 370 ansatte i UNEs sekretariat. UNE saksbehandler store mengder saker i året, og i 2011 var saksmengden på ca saker. I UNEs saker er det ofte involvert eksterne parter som tolker, regjeringsadvokat, sivilombudsmann og klagernes advokater. 3.1 Kort om UNEs systemportefølje UNEs sentrale arbeidsverktøy er saksbehandlingssystemet Datasystem for utlendings- og flyktningsaker (DUF). DUF er det sentrale saksbehandlingssystemet innen utlendingsforvaltningen og benyttes blant annet av UDI, politiet og IMDI, i tillegg til UNE. Systemet eies av UDI. INKA er UNEs eget system for å håndtere nemndmøter produksjon av statistikk og saksmengdestyring. INKA henter data fra DUF, deriblant personopplysninger. Som generelt arkivsystem benyttes Public 360. I tillegg benytter UNE SAP, Timecon, DFØ og WebCruiter. 4 Oversendelse av informasjon Datatilsynet ba i varselet av 24. oktober 2012 om at Utlendingsnemnda oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i forkant. I etterkant av kontrollen oversendte UNE ytterligere dokumenter etterspurt av datatilsynet under kontrollen. Datatilsynet oversendte virksomheten en dagsorden i forkant av kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av UNEs plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 12

6 Under kontrollen ble UNEs internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak UNE hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i avsnitt Faktiske forhold Det er direktøren for Utlendingsnemnda som er behandlingsansvarlig. Dette fremkommer av vedlagt dokumentasjon. Det kommer også fram at både UNE og UDI er behandlingsansvarlig for DUF-basen. Dvs. at de er delansvarlig for den del som de selv legger inn i basen. UNE har tilgang til hele basen, ikke bare den del som gjelder den konkrete klagesak. Dette ble ikke nærmere behandlet under kontrollen, og Datatilsynet vil vurdere å behandle forhold rundt behandlingsansvar og tilgangsstyring til DUF ved en senere anledning. 3 av 12

7 Konklusjon Ingen avvik konstatert Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må UNE ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4 og 3-1. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold og vurdering UNE oversendte ikke på forhånd en systematisk oversikt over behandlinger og behandlingsgrunnlag på tross av at dette ble etterspurt fra Datatilsynets side ved utsending av varsel. UNE hadde laget en arkivplan, hvor noen av de etterspurte opplysningene fremkommer. Dette er imidlertid ikke tilstrekkelig etter personopplysningsforskriften 2-4. Under kontrollen kom det fram at UNE trodde en slik oversikt eksisterer. Datatilsynet ba UNE om å ettersende oversikten over behandlinger i etterkant av kontrollen. UNE oversendte i etterkant av kontrollen en kartlegging av behandling av personopplysninger i forbindelse med klagebehandling. Dette er sist oppdatert i Dette dokumentet er ikke egnet til å gi en oversikt over virksomhetens behandling av personopplysninger. Konklusjon Manglende oversikt over behandlinger er et avvik fra Personopplysningsloven 13 og 14, jf. personopplysningsforskriften 2-4 og Øvrige plikter etter personopplysningsloven 14 jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for 4 av 12

8 innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. Faktiske forhold: UNE manglet dokumenterte rutiner for oppfyllelse av begjæringer om innsyn etter personopplysningsloven. Delkonklusjon Manglende dokumentasjon på rutiner for oppfyllelse av begjæringer om innsyn etter personopplysningsloven regnes som et avvik, jf. forskriftens ledd bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Regelverkets krav Det følger av personopplysningsloven ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsloven 3-1, 3. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven av 12

9 Faktiske forhold UNE manglet dokumentasjon på rutiner i forhold til informasjonsplikten etter personopplysningsloven 19 og 20. Delkonklusjon Manglende dokumentasjon på rutiner for oppfyllelse av informasjonsplikten regnes som et avvik etter forskriftens 3-1, 3. ledd bokstav d) Sletting Regelverkets krav I henhold til personopplysningsloven 11 bokstav e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold og vurdering Datatilsynet fikk før kontrollen oversendt UNEs rutine for sletting (IT-IR-47-10). Det framgår av dokumentet at UNE ikke sletter personopplysninger i forbindelse med klagesaksbehandling da det er UDI som er behandlingsansvarlig for opplysningene. Enkelte personopplysninger kan likevel ligge utenfor fagsystemene (for eksempel i Word eller Excel) i UNEs katalogstruktur. Her framstår det som det ikke fins rutiner for sletting. UNE er en offentlig etat og således underlagt arkivloven. Når personopplysningene overføres Riksarkivet etter et kassasjonsvedtak endrer de status, og Riksarkivet blir behandlingsansvarlig. Opplysningene i saksbehandlingssystemet DUF er av en karakter som vil medføre at de klausuleres med taushetsplikt i 100 år. Denne avveiingen gjøres av Riksarkivet. Overføring til Riksarkivet vil mange henseende kunne likestilles med sletting. Delkonklusjon Det er utferdiget dokumenterte rutiner for sletting av personopplysninger. UNE må gjøre enkelte justeringer i tilknytning til opplysninger som ligger utenfor fagsystemet. Datatilsynet anser ikke dette som noe avvik, men nøyer seg med å påpeke plikten til å ajourholde rutinene for sletting Konklusjon Manglende dokumenterte rutiner for ivaretakelse av innsynskrav og informasjonsplikt etter personopplysningsloven regnes som et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d). Det er ikke konstatert avvik for dokumenterte rutiner for sletting. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 12

10 6.2 Krav om informasjonssikkerhet Regelverkets krav I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse, mål og strategi I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Faktiske forhold UNEs sikkerhetspolicy beskriver rollen til en egen sikkerhetsleder. Denne stillingen var ved kontrolltidspunkt ikke besatt. Det fins ingen andre dedikerte sikkerhetsfunksjoner i virksomheten. UNE oversendte før kontrollen en sikkerhetspolicy for virksomheten. Dette dokumentet redegjør for virksomhetens sikkerhetsmål, ansvar, samt strategi og tiltak på sikkerhetsområdet. Policyen ble sist revidert august Det framkommer ikke av policy at det gjennomføres ledelsens gjennomgang av sikkerhetsarbeidet i virksomheten. Det nevnes imidlertid i annen dokumentasjon (intern retningslinje for gjennomføring av riskovurderinger) at det skal foretas en årlig ledelsens gjennomgang. Det framkom under kontrollen at UNE ikke gjennomfører ledelsens gjennomgang. Dette kan forklares av virksomhetens direktør er nytilsatt. Virksomhetens bruk av personopplysninger skal jevnlig gjennomgås, jf. personopplysningsforskriften 2-2, 4. ledd. Datatilsynet anbefaler at en slik gjennomgang gjøres minimum årlig. Konklusjon Ingen avvik konstatert. 7 av 12

11 6.2.3 Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold I forkant av kontrollen oversendte UNE en intern retningslinje for gjennomføring av risikovurderinger og to gjennomførte risikovurderinger, en fra desember 2002 og en fra februar Dette er systemtekniske risikovurderinger gjennomført av ekstern leverandør. Dette er grundige risikovurderinger som bærer preg av revisjon. De oversendte risikovurderinger vil likevel ikke, etter Datatilsynets vurdering, tilfredsstille kravene til risikovurdering, jf. personopplysningsforskriften 2-4, 1. ledd. Til det gjennomføres de for sjelden og er teknisk orientert. Det framkom under kontrollen at UNE også gjennomfører teknisk orienterte risikovurderinger ved systemendringer. Datatilsynet etterspurte under kontrollen eksempler på løpende tekniske risikovurderinger. UNE oversendte i etterkant av dette en risikovurdering fra Kravet om risikovurderinger ved endringer er dermed ikke oppfylt. UNE gjennomfører ingen risikovurderinger som tar for seg andre forhold enn de rent tekniske. Dette er nødvendig for å kunne ha et fullstendig risikobilde for UNEs virksomhet. Konklusjon Manglende risikovurderinger er et avvik fra personopplysningsforskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriften 2-3. Faktiske forhold I forkant av kontrollen fikk Datatilsynet oversendt UNEs rutine for gjennomføring av sikkerhetsrevisjon (IR ). Datatilsynet har ingen kommentarer til plan for sikkerhetsrevisjon. Datatilsynet har ikke mottatt eksempler på gjennomførte 8 av 12

12 sikkerhetsrevisjoner. De oversendte risikovurderingene har, som nevnt tidligere, delvis preg av sikkerhetsrevisjon, men behandler i all hovedsak tekniske forhold. Konklusjon Manglende sikkerhetsrevisjoner er et avvik fra personopplysningsforskriften Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningsloven 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Faktiske forhold Datatilsynet fikk i forkant av kontrollen oversendt UNEs retningslinje for håndtering av avvik. I denne ligger også mal for avviksrapportering. Datatilsynet har ingen kommentarer til disse dokumentene. Konklusjon Ingen avvik konstatert Sikkerhetstiltak Personopplysningsloven 13 jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriftens 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Hjemmekontor UNE tilbyr i dag hjemmekontorløsning med bruk av VPN og dynamisk passord fra kodebrikke. Det er ingen generell tilgang til saksbehandlingssystemet via hjemmekontorløsningen. Det er imidlertid gjort unntak fra dette for en person som har tilgang til DUF via hjemmekontor. Datatilsynet ba om å få ettersendt dokumentasjon av beslutningen om å tillate dette, for eksempel risikovurderinger. UNE meldte i etterkant av kontrollen at de ikke kan finne dokumentasjon av valg tatt i forbindelse med denne løsningen. UNE ettersendte imidlertid en avtale mellom UNE og den ansatte om hjemmekontorordningen. Datatilsynet vil på dette punktet ikke påvise avvik, men vil påpeke den 9 av 12

13 behandlingsansvarliges plikt til å dokumentere risiko og sammenligne dette med fastlagte kriterier for akseptabel risiko, jf. personopplysningsforskriften 2-4, 3. ledd. UNE åpner for tilgang til mail og kalender fra mobile enheter med synkronisering. Dette skjer kryptert Bruk av e-post UNE og andre aktører i utlendingsforvaltningen har en utstrakt bruk av ukryptert e-post for sending av sensitive personopplysninger. Først og fremst sendes personopplysninger på interne e-postservere, men i noen tilfeller sendes også personopplysninger eksternt uten beskyttelse E-post internt og mot UDI Internt benytter UNE e-post for å søke i Schengen Information System (SIS). Saksbehandlere skal sende søk på bestemte personer videre til en bestemt rolle i virksomheten. Denne personen har tilgang til søk i SIS. Om den aktuelle personen er registrert i SIS sendes et positivt svar tilbake til saksbehandler på e-post 2. Det at en person er registrert i SIS er å betrakte som en opplysning der konfidensialitet er nødvendig, jf. personopplysningsforskriften 2-11, 1. ledd. Det sendes også sensitive personopplysninger på e-post ut av virksomheten. Når UNE har behov for å endre personopplysninger i DUF sender UNE e-post til UDI om endringen. Oppdateringen i DUF gjøres så av UDI 3. Datatilsynet ba under kontrollen UNE oversende dokumentasjon av nevnte e-postløsning. Datatilsynet har ikke mottatt slik dokumentasjon Det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig, jf. personopplysningsforskriften 2-11, 1. ledd. Alle UNEs personopplysninger er definert som sensitive og har behov for høy grad av konfidensialitetsbeskyttelse. Den behandlingsansvarlige skal gjennomføre tiltak som skal sørge for tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13, 1. ledd. Videre skal sikkerhetstiltak hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk, jf. personopplysningsforskriften 2-14, 1. ledd. Til slutt er praksisen ikke risikovurdert i tråd med personopplysningsforskriften 2-4, 2. ledd. Se for øvrig rapportens avsnitt Å behandle personopplysninger av en så sensitiv karakter som UNE gjør i sin e-postløsning har flere potensielt negative konsekvenser. Løsningen ligger nærme det åpne internett, og kun en liten menneskelig feil fra en saksbehandler kan føre til at personopplysninger kommer på avveie. Sletting av personopplysninger må gjøres manuelt og dette vil føre til stor risiko for at sletting ikke vil gjøres. Lagringen av personopplysninger vil være ustrukturert og det vil være vanskelig for den registrerte å gjennomføre sin rett på innsyn. UNE har ikke iverksatt noen kompenserende tiltak på dette området. Datatilsynet vil anbefale at oversendelse av personopplysninger internt i UNE og kommunikasjon mellom UNE og UDI gjøres ved egne funksjoner i et saksbehandlingssystem og ikke på e-post. 2 Interne retningslinjer: Klagesaksbehandlingen. Side 9 3 Interne retningslinjer: Klagesaksbehandlingen. Side av 12

14 Konklusjon Sending av e-post med personopplysninger med sterkt behov for konfidensialitetsbeskyttelse internt er et avvik fra personopplysningsforskriften 2-4, 2. ledd, 2-11, 1. ledd og 2-14, 1. ledd E-post ved unntak i spesielle situasjoner UNEs vedtak skal som hovedregel ikke sendes på e-post dersom dette ikke gjøres på en sikker linje 4. Det fins imidlertid unntak fra denne hovedregelen. Dersom det oppstår spesielle omstendigheter og dersom klageren har gitt samtykke til det, kan vedtak sendes på usikret e-post. Dette kan for eksempel skje dersom klager nylig har skiftet advokat og det er tidspress i saken. I reglene i personopplysningsloven og forskriften om informasjonssikkerhet er ikke samtykke relevant. Det fins ingen åpning i regelverket for at den registrerte kan samtykke til at den behandlingsansvarlige bryter disse reglene. Dette gjelder også krav til å sikre konfidensialitet ved elektronisk overføring av personopplysninger, jf. personopplysningsforskriften 2-11, 3. ledd. UNEs praksis i disse tilfellene er å anse som et avvik fra personopplysningsregelverket. Konklusjon Sending av e-post med personopplysninger med sterkt behov for konfidensialitetsbeskyttelse til eksterne aktører er et avvik fra personopplysningsforskriften 2-11, 3. ledd Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og konklusjon De ansatte får opplæring i behandling av personopplysninger ved nyansettelse. Alle nyansatte er med i en fadderordning der behandling av personopplysninger er et av tema. UNEs interne retningslinjer styrer blant annet virksomhetens behandling av personopplysninger. Disse er tilgjengelig fra virksomhetens intranett. UNE hevder at disse dokumentene brukes i det daglige og at de ansatte har et aktivt forhold til disse. Ingen avvik konstatert. 6.3 Databehandlere 4 Interne retningslinjer: Klagesaksbehandlingen side av 12

15 En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av UNE må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Faktiske forhold UNE benytter DUF som sitt primære saksbehandlingssystem. DUF-systemet eies av UDI, men driftes av Steria. UNEs behandlingsansvar er tidligere behandlet i avsnitt Datatilsynet etterspurte under kontrollen innsyn i databehandleravtaler, konkretisert til avtaler med UDI og/eller Steria, politiet, Utenriksdepartementet, Direktoratet for økonomistyring og WebCruiter. Dette er også et område som skal reguleres av en databehandleravtale. UNE leverte i etterkant av kontrollen dokumentasjon av forholdet mellom UNE og UDI med hensyn til behandlingsansvar. Denne dokumentasjonen behandler også UNEs behov for databehandleravtale med Steria, politet og utenriksdepartementet. Dette er videre behandlet under avsnitt UNE oversendte også tjenesteavtale mellom UNE og Senter for statlig økonomistyring (nå Direktoratet for økonomistyring). Denne avtalen nevner informasjonssikkerhet og internkontroll, men i følge UNEs egen vurdering tilfredsstiller ikke denne avtalen personopplysningsloven krav til databehandleravtale. UNE har ikke oversendt databehandleravtale med WebCruiter. Datatilsynet antar det er tilfellet fordi den ikke eksisterer. Konklusjon Manglende databehandleravtaler med Direktoratet for økonomistyring og WebCruiter er et avvik i etter personopplysningsloven 15 og personopplysningsforskriften av 12