Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Transkript

1 Fjell kommune Postboks STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/ /RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember Virksomheten har i brev av 23. januar 2011 bekreftet at avvik som danner grunnlag for vedtak om pålegg punk 1 og 3 er brakt til opphør. Kommunen har gjennomført revisjon av kommunes internkontroll i samsvar med personopplysningslovens 13 og 14. Datatilsynet aksepterer kommunens tilbakemelding på årsak til at lukking av de øvrige avvik i henhold til vedtak om pålegg punkt 2 ikke er gjennomført innen fristen. Tilsynet legger kommunens nye frist innen første halvdel av 2012 til grunn for lukking av de øvrige avvik. Tilsynet imøteser brev fra virksomheten når tiltak er gjennomført og anser med dette kontrollen for avsluttet. Virksomheten gjøres oppmerksom på at det kan bli gjennomført en etterkontrol1. Endelig kontrollrapport vedlegges. Med hilsen Leif T. Aanensen avdelingsdirektør Renate Thoreid senioringeniør Vedlegg: Endelig kontrollrapport Kopi til: Fylkesmannen i Hordaland Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Saksnummer: 10/01137 Dato for kontroll: Rapportdato: Foreløpig kontrollrapport Kontrollobjekt: Fjell kommune Sted: Fjell kommune Utarbeidet av: Renate Thoreid Knut Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Fjell kommune Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre Internkontroll og sørge for tilfredsstillende informasjonssikkerhet iht. gjeldene lover og forskrifter. Kontrollen ble gjennomført i virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Steinar Nesse, Rådmann - Roy-Erik Hansen, Tryggleiksleiar - Kjell Fyllingen, IKT-sjef - Lillian Torsvik, Servicesjef - Wenke Sandvær, Personalrådgiver - Lisbeth Grosvold, Personalsjef 2.2 Fra Datatilsynet: - Knutt B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Fjell kommune er administrativt organisert i en matriseorganisasjon, med tre hoveddeler, Rådmannsfunksjon, fem linjeavdelinger (Sosial, Barnehage, Skole, Helse og Omsorg)og seks stabsavdelinger. IKT avdelingen inngår som en av stabsavdelingene og IKT-sjef og informasjonssikkerhetsansvarlig rapporterer direkte til rådmannen. Kommunen har i dag omtrent ansatte, 1200 årsverk. Fjell kommune deltar i interkommunalt samarbeid på enkelte omrpder med bland annet Os, Fusa, og Askøy kommune. Kommunene har utarbeidet en IKT strategi , det tas 1 av 12

3 sikte på å følge opp de intensjoner og målsettinger som er beskrevet i KS strategi- og handlingsplan for IKT i kommunesektoren ekommune Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. En detaljert agenda ble oversendt virksomheten i forkant av tilsynet. Kommuner har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. Under kontrollen ble kommunens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Det er Datatilsynets oppfatning at kommunens framdriftsplan dokumentert i Plan for informasjonstryggleik Fjell kommune i større grad vil ivareta gjennomføringen av internkontroll og informasjonssikkerheter i kommunen. Sikkerhetsorganisasjon med rollen som sikkerhetsansvarlig vil koordinere arbeidet i alle enheter og påse at behandlingsansvarligs ansvar og oppgaver ivaretas på alle nivåer i kommunen. 1 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 1 Internkontroll Fjell kommune v 1.01 oppdatert av 12

4 Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre, rutiner for innhenting av samtykke vil for eksempel kun være aktuelt på områder der det er aktuelt å innhente slikt samtykke. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Faktiske forhold Kommunen opplyste om at rådmannen er å anse som behandlingsansvarlig. Kommunen har videre delegert myndighet om internkontroll og informasjonssikkerhet til tjenestestedsledere. I tillegg har kommunen utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Sikkerhet og beredskapssjef rapporterer direkte til rådmann og har det overordnede operative ansvaret for informasjonssikkerhet i kommunen. Videre benytter kommunen flere databehandlere, jf. personopplysningslovens 2 nr. 5. Delkonklusjon Behandlingsansvar og organisering av sikkerhetsarbeidet fremsto som tilfredstillende og fremkom av kommunens styrende dokumenter. Det manglet imidlertid en klargjøring av ansvarsforhold (delegasjon og databehandleravtaler) dokumentert i styrende dokumentene Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen 3 av 12

5 ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Faktiske forhold Kommune hadde utarbeidet en tilfredstillende oversikt over behandlinger av personopplysninger i kommunen og hvilke system kommunen hadde. Oversikten var dokumentert i Internkontroll Fjell kommune, Informasjonstryggleik Dok 1-02:Styringsdokumnet internkontroll. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen inneholder flere melding fra kommunen.. Delkonklusjon Datatilsynet anser oversikten over behandlinger for tilfredsstillende Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må i henhold til personopplysningslovens 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og av 12

6 Faktiske forhold Det ble opplyst at det ikke forelå overordnede rutiner for ivaretakelse av retten til innsyn, og at rutiner på dette var delegert til virksomhetsledere. Delkonklusjon Virksomhetens manglende rutine for ivaretakelse av retten til innsyn regnes som avvik jf, personopplysningslovens 14 jf. 18, jf. forskriftens Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Regelverkets krav Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Faktiske forhold Det ble opplyst at virksomheten ikke hadde dokumenterte rutiner for ivaretakelse av kravet til informasjonsplikt etter 19, men at informasjonsplikten i praksis ble vurdert i henhold til forvaltningsloven. Delkonklusjon Virksomhetens manglende rutine for ivaretakelse av informasjonsplikten regnes som avvik jf, personopplysningslovens 14 jf. 19, jf. forskriftens Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte selv Regelverkets krav Det følger av personopplysningsloven 20 første ledd første punktum at en behandlingsansvarlig som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon om nevnt i 19 første ledd så snart opplysningene er innhentet. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 5 av 12

7 Unntak fra informasjonsplikten følger av 20 annet ledd bokstav a til c, og personopplysningsloven 23. Faktiske forhold Det ble opplyst at virksomheten ikke hadde dokumenterte rutiner for ivaretakelse av kravet til informasjonsplikt etter 20, men at informasjonsplikten i praksis ble vurdert i henhold til forvaltningsloven. Delkonklusjon Virksomhetens manglende dokumenterte rutine for ivaretakelse av informasjonsplikten regnes som avvik jf, personopplysningsloven 14 jf. 20, jf. forskriftens Sletting Regelverkets krav I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige i forhold til formålet med behandlingen. 2 Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold Kommunen hadde ikke dokumenterte rutine for sletting av opplysninger på overordnet nivå. Det ble imidlertid opplyst at sletting av opplysninger ble gjennomført på ulike nivåer men at det manglet dokumenterte rutiner og prosedyrer. Konklusjon Manglende rutiner for sletting av personopplysninger anses som avvik etter personopplysningsloven 14 jf. 11 bokstav e og forskriftens Konklusjon Kommunen hadde i liten grad interkontrollbestemmelser etter personopplysningslovens 14 på plass. Datatilsynet understreker imidlertid at en sentral del av etableringen av et internkontrollsystem er også å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. Kommunen må sørge for tiltak for å tilpasse nivå og omfang av nevne bestemmelse slik at alle i virksomheten og virksomhetsledere blir kjent og etterlever internkontrollen. Tiltakene kan med fordel inngå i kommunens plan for informasjonssikkerhet Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom utenforstående får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at 2 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 12

8 databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. Faktiske forhold og konklusjon Det ble opplyst at kommunen benyttet flere leverandører som behandler personopplysninger på vegne av kommunen. Datatilsynet viste til tilsynets veileder av , Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal inneholde kravene til en databehandleravtale som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Avtalen bør imidlertid også inneholde: Formålet med behandling av personopplysningene Beskrivelse av hvordan opplysningene skal behandles Konkrete rutiner for bruk av personopplysningen Regler for utlevering av personopplysningen Innsyn, retting og sletting Dersom det forligger databehandlere for virksomheten krever regelverket at avtalen tilfredsstiller kravene i personopplysningslovens 15 jf. 13. Manglende avtaler, gjennomgang og oppdatering av databehandleravtaler anses som avvik i forhold til kravene som stilles i personopplysningslovens 15 jf. 13 og forskriftens Krav om informasjonssikkerhet 6.1 Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. 7 av 12

9 For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen. På tidspunktet for kontrollen var aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune under gjennomføring. Dokumentasjon av styrende, gjennomførende og kontrollerende dokumenter er noen av aktivitetene som skal gjennomføres i perioden. Iverksetting av årshjul for informasjonssikkerhet skal foreligge i mai Datatilsynet minner om den behandlingsansvarliges plikt til å etterleve kravene til informasjonssikkerhet i personopplysningsforskriftens kapittel 2. og anbefaler at prosjektets resultat videreføres og følges opp i virksomhetene. 6.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold og konklusjon I dokumentasjon, framdriftsplan for informasjonssikkerhet Fjell kommune fremgår det at rutiner for sikkerhetsmål og sikkerhetsstrategi er etablert og revidert årlig. Datatilsynets kontroll gav ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer i sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Tilsynet avgrenser seg derfor til å minne om nevnte plikt om at informasjonssystemet skal jevnlig gjennomgås for å kartlegge om hensikten i forhold til virksomhetens behov og sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet som resultat. Det henvises til aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune for gjennomføring. Sikkerhetsorganisasjon Faktiske forhold og konklusjon Datatilsynet konstaterte at kommunen hadde etablert sikkerhetsorganisasjon. I henhold til Plan for informasjonstryggleik Fjell kommune hadde rådmannen utpekt en sikkerhetsansvarlig. I tillegg var det utnevnt systemeiere og systemansvarlige. Det var opprettet ansvarsforhold knyttet til organisering gjennomføring av sikkerhetsarbeidet i kommunen. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at 8 av 12

10 sikkerhetsorganisasjonen skal gjøres kjent for de ansatte, dette kan for eksempel gjøres ved publisering på virksomhetens intranett. 6.3 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde gjennomført risikovurdering av informasjonssystemet, dokumentert i Risikoanalyse Sonedeling Intern/Sikker. Datatilsynet understreker viktigheten av å følge opp status og tiltak i henhold til dokumenterte risikofaktorer som fremkommer av rapporten. Foreslåtte tiltak utføres eventuelt vurderes før ny risikovurdering gjennomføres. Datatilsynet påpekte imidlertid viktigheten av å gjennomføre risikovurderinger i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak særskilt i forhold til virksomhetens sensitive personopplysninger lagret i sikker sone og bruk av minnepinne. Se også rapportens punkt 6.6. Datatilsynet kan ikke se at det er truffet tilstrekkelige tiltak for å sørge for konfidensialitet og uautorisert adgang til sensitive personopplysninger i sikker sone. Datatilsynet savner en risikovurdering hvor den behandlingsansvarlige kartlegger sannsynligheten for og konsekvenser av sikkerhetsbrudd. Datatilsynet vil i denne anledning minne om at det skal fastsette kriterier for akseptabel risiko forbundet med all behandlingen av personopplysninger og gjennomføre risikovurderinger i henhold til personopplysningsforskriftens Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriftens av 12

11 Faktiske forhold og konklusjon Under kontrollen ble det avdekket mangler i forhold til etterlevelse av bestemmelsen om sikkerhetsrevisjon. Virksomheten kunne ikke dokumentere å ha gjennomført sikkerhetsrevisjon slik det fremgår av retningslinjene. Kravene i personopplysningsforskriftens 2-5 er etter dette ikke oppfylt, og manglende dokumentasjon regnes som avvik etter personopplysningslovens 13. Det henvises til aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune for gjennomføring. 6.5 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde rutiner for avvik men manglet etterlevelse for rapportering av avvik innenfor personvern. 3 Kommunen er i ferd med å innføre et elektronisk system, Quality Manager Plus. Systemet skal i større grad håndtere avvik som oppstår i virksomheten og i henhold til personvernet ved at det skal rapporteres, behandles og følges opp i avvikssystemet, QM+. Datatilsynet anbefaler at rutiner for avvik bringes i samsvar med hvordan det faktisk skal utøves i virksomheten og at disse fungerer etter sin hensikt. Tiltak kan inngår i kommunens arbeid med planlagte og systematiske tiltak basert på risikovurdering og avviksmelding dokumentert i plan for informasjonssikkerhet Tilsynet avgrenser seg derfor til å minne om nevnte plikt. 6.6 Organisering På bakgrunn av risikovurderingen og akseptert nivå for risiko, skal det fastsettes hvilke organisatoriske og tekniske sikkerhetstiltak som er nødvendig for å få et tilfredsstillende sikkerhetsnivå. Det skal opprettes klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Videre skal informasjonssystemet konfigureres slik at tilfredstillende informasjonssikkerhet oppnås jf Sikkerheten og systemet for dette skal dokumenteres og være gjenstand for jevnlig revisjon. 3 Internkontroll Fjell kommune Rutine 3-1 Handtering av avvik og årskontroll 10 av 12

12 Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet. Slike tiltak skal etter forskriftens 2-14 tredje ledd omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne til behandlingsansvarlige. Virksomhetens konfigurering av informasjonssystemet skal tydelig fremkomme av et konfigurasjonskart og støttende beskrivelse, virksomhetens kopling av utstyr og program, inndeling av informasjonssystemet i soner og kommunikasjonspunkt for tilkopling til ekstern datakommunikasjon. Sikkerhetsarkitektur og inndeling i soner benyttes som grunnleggende prinsipp for å ivareta konfidensialitet av sensitive personopplysninger. Faktiske forhold Det ble opplyst at det var konfigurert sikkerhetsbarriere i form av sikker sone ved behandling av ulik informasjon i infrastrukturen til kommunen. Sensitive personopplysninger ble behandlet og lagret i sikker sone. Mulighet for kopiering av sensitive personopplysninger til eksterne lagringsmedier i form av minnepinner var tilgjengelig for klienter i sikker sone. Konklusjon Datatilsynet anser en slik praksis å være i konflikt med kommunens plikt til å sørge for tilfredstillende informasjonssikkerhet av konfidensialitetshensyn og organisering etter personopplysningslovens 13 jf. personopplysningsforskriftens 2-7 og Det henvises også til rapportens kapittel 6.3. Risikovurdering. 6.7 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og konklusjon Under kontrollen erkjente virksomheten at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i virksomheten. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for bland annet nyansatte. Kravene i bestemmelsen anses dermed ikke oppfylt. 6.8 Spesielt om konfidensialitet, integritet og tilgjengelighet Tilgang til personopplysninger og sensitive personopplysninger i virksomhetens fagsystemer vil gjennomgående inneholde opplysninger som skal sikres spesielt. Personopplysningsloven 13 stiller som krav til den behandlingsansvarlige at det sørges for tilfredsstillende informasjonssikkerhet ved blant annet å sikre uautorisert innsyn i personopplysninger i henholdt til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. Det er blant annet av stor viktighet at det opprettes klare rutiner for hvem som skal ha tilgang til opplysningene, knyttet opp mot et tjenstlig behov og at disse jevnlig revideres, særskilt når ansatte slutter eller endrer stilling. 11 av 12

13 Videre ser tilsynet behov for at kommunen går gjennom tilgangene til de ulike ansatte og sørger for at disse er korrekte. Det henstilles til virksomheten å gjøre en vurdering i henhold til behov for felles brukernavn og passord. Datatilsynet minner om bestemmelsene i personopplysningsforskriftens 2-10 om fysisk sikring, 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. 7 Avslutning Vedtak som følge av kontrollen følger i brev. 12 av 12