Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Transkript

1 Direktoratet for arbeidstilsynet Postboks 4720 Sluppen 7468 TRONDHEIM Deres referanse Vår referanse (bes oppgitt ved svar) 2012/ / /MEI 5. mars 2013 Dato Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet Det vises til Datatilsynets kontroll hos Direktoratet for arbeidstilsynet den 5. desember 2012 og Datatilsynets varsel om vedtak av 16. januar Vurdering av tilsvar Datatilsynet har i brev av 15. februar d.å. mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. Punkt 2 Sletting Arbeidstilsynet har i etterkant av oversendelse av varsel om vedtak og foreløpig kontrollrapport utformet en oversikt over rutiner for sletting av personopplysninger, i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Datatilsynet er enig i at denne etterkommer lovens krav, og vil ikke fatte vedtak som varslet. Datatilsynet har imidlertid ikke i detalj vurdert innholdet i oversikten. Ad. Punkt 5 Databehandleravtaler Arbeidstilsynet har i etterkant av oversendelse av varsel om vedtak og foreløpig kontrollrapport etablert en ny databehandleravtale med cut-e, jf. personopplysningsloven 15 og personopplysningsforskriften Datatilsynet er enig i at denne etterkommer lovens krav, og vil ikke fatte vedtak som varslet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Arbeidstilsynet må gi tilstrekkelig informasjon til den registrerte og dokumentere rutiner for det, i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften pplysningsforskriften 3-1 bokstav d. Det vises til kontrollrapportens punkt Arbeidstilsynet må dokumentere tilfredsstillende informasjonssikkerhet ved at risikovurdering gjennomføres, dokumenteres, og gjentas ved endringer som har betydning for informasjonssikkerheten, i samsvar med personopplysningsloven Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 13, jf. personopplysningsforskriften 2-4. Det vises til kontrollrapportens punkt Arbeidstilsynet må gjennomføre sikkerhetsrevisjoner i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Det vises til kontrollrapportens punkt Datatilsynet gir frist for gjennomføring av påleggene til 1. juli Arbeidstilsynet må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at Arbeidstilsynet har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Martha Eike overingeniør Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 12/01044 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Direktoratet for arbeidstilsynet Sted: Utarbeidet av: Marius Engh Pellerud Knut B. Kaspersen Martha Eike 1 Innledning Datatilsynet gjennomførte en kontroll hos Direktoratet for arbeidstilsynet, heretter omtalt som Arbeidstilsynet, den 5. desember Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen ble det gitt spesiell oppmerksomhet på etatens plikter til å føre internkontroll samt sørge for tilfredsstillende informasjonssikkerhet for etatens behandling av personopplysninger. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ingrid Finboe Svendsen, direktør - Tone Sandø, avdelingsdirektør - Monica Seem, avdelingsdirektør - Tore Kristiansen, IKT-leder - Bjørn S. Larsen, informasjonssikkerhetsansvarlig - Trine Lund, personvernombud - Inger Marit Vasseljen, controller - Frank Jensen, avdelingsdirektør - Kristin Breivold, leder Dokumentsenteret 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Marius Engh Pellerud, rådgiver - Martha Eike, overingeniør 3 Generelt Arbeidstilsynet er en statlig etat, underlagt Arbeidsdepartementet. Etatens oppgave er å føre tilsyn med at virksomhetene følger arbeidsmiljølovens krav. Tilsynsansvaret omfatter ca 1 av 11

4 virksomheter i privat og offentlig sektor. Arbeidstilsynet er organisert med et direktorat og syv regioner med underliggende tilsynskontor spredd over hele landet. Direktoratet har ansvar for blant annet overordnede strategier, planer, regelverksutvikling og kommunikasjon med sentrale samarbeidspartnere. Regionkontorene gir veiledning og informasjon regionalt, og fører tilsyn med den enkelte virksomheten. 3.1 Kort om Arbeidstilsynets systemportefølje Arbeidstilsynets sentrale arbeidsverktøy er saksbehandlings- og arkivsystemet ephorte. Her foregår fullelektronisk saksbehandling, og fagsystemer benytter ephorte for all arkivering av journalpliktige dokumenter. Interne system som er viktig å nevne er system for Melding om arbeidsulykke, RAS Legers melding om arbeidsrelatert sykdom, og VYR Yrkesskaderegisteret. I tillegg benytter Arbeidstilsynet SAP, tjenestegrensesnitt mot WebCruiter, cut-e, Oberthure, Metafocus, og tjenester fra Altinn og DFØ. 4 Oversendelse av informasjon Datatilsynet ba i varselet av 7. november 2012 om at Arbeidstilsynet oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 26. november En detaljert agenda ble oversendt Arbeidstilsynet på e-post før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av Arbeidstilsynets plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 11

5 Under kontrollen ble Arbeidstilsynets internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Kontrollen hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak Arbeidstilsynet hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel Arbeidstilsynet har etablert et eget internkontrollsystem iht. personopplysningsloven 14. Behandlingsansvaret er godt dokumentert, blant annet gjennom oversendt organisasjonskart. Datatilsynet har ikke konstatert avvik. 3 av 11

6 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. og vurdering Det er laget en oversikt over hvilke behandlinger av personopplysninger som Arbeidstilsynet har. I flere fagsystemer gjøres det bruk av fødselsnummer. Det ble påpekt at Arbeidstilsynet burde gå gjennom alle fagsystemene og gjøre en ny vurdering for bruk av fødselsnummer, sett opp mot personopplysningsloven 12. Dessuten ble det reist spørsmål om ikke yrkesskaderegisteret var konsesjonspliktig, da dette er et register som ikke er hjemlet i lov. Datatilsynet har ikke konstatert avvik. Arbeidstilsynet bør ta en ny vurdering av bruken av fødselsnummer, og hvorvidt Yrkesskaderegisteret trenger konsesjon. Det vises i den sammenheng til plikten om å vurdere konsesjonsplikt som en del av internkontrollen, se personopplysningsforskriftens 3-1 bokstav f) Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 4 av 11

7 Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Arbeidstilsynet har dokumenterte rutiner for innsynsbegjæringer. Delkonklusjon Datatilsynet har ikke konstatert avvik Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Det er ikke dokumenterte rutiner for informasjon til den registrerte. Det var ikke gjort vurderinger om hvorvidt unntakene fra informasjonsplikten kom til anvendelse. 5 av 11

8 Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til den registrerte er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Det er ikke dokumenterte rutiner for sletting av personopplysninger, utover arkivplaner. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav c Mangelfulle dokumenterte rutiner for informasjon til den registrerte og sletting er avvik frapersonopplysningsloven 14, jf. forskriften 3-1 bokstav d og c. 6.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 11

9 informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi I oversendt dokumentasjon av Styringssystem for informasjonssikkerhet fremgår det at sikkerhetsmål er nedfelt i Policy for informasjonssikkerhet i Arbeidstilsynet. Policy dekker ikke sikkerhetsstrategi. Det pågår et arbeid med å lage et styringssystem for informasjonssikkerhet. Dokument om sikkerhetsstrategi er ikke klart og Datatilsynet har blitt informert om at sikkerhetsstrategien skal ferdigstilles i løpet av januar Datatilsynet er tilfreds med at sikkerhetsmål er etablert og dokument om sikkerhetsstrategi er underveis. Datatilsynets kontroll ga ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer av sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Legg til grunn at sikkerhetsstrategien fullføres. Datatilsynet avgrenser seg derfor til å minne om nevnte plikt om at informasjonssystemet skal jevnlig gjennomgås for å kartlegge om hensikten i forhold til virksomhetens behov og sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette vistes i dokumentasjonen og fremgikk under kontrollen. Informasjonssikkerhetsansvarlig jobber i avdeling Organisasjon, og er den som har ansvar for å kartlegge alle IT-systemene og fasiliterer klassifisering. Prosesseier jobber i fagavdeling, og er den som er delegert det daglige behandlingsansvaret. Prosesseier har ansvar for klassifisering og risikoanalyser, og deltar i identifisering av tiltak. Tjenesteeier er i IKTavdeling, og er den som har ansvar for å identifisere tiltak. Tjenesteeier deltar i risikoanalyser med prosesseier. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen gjøres kjent for de ansatte. Datatilsynet har ikke konstatert avvik. 7 av 11

10 6.2.3 Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet ble informert om at alle system skal risikoanalyseres og arbeidet med det er igangsatt. Risikoanalysen baseres på klassifisering av systemet. Risikoanalyse av samtlige system er planlagt ferdig i løpet av første halvår i 2013, og skjer parallelt med iverksetting av tiltak. Manglende gjennomføring og dokumentasjon av risikoanalyse er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. forskriften Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. 8 av 11

11 Etter personopplysningsforskriften 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Arbeidstilsynet bruker kvalitetssystemet QM+ for å håndtere avvik. Avvikssystemet henger sammen med et internt HMS-system. Det gis opplæring for både ledere og ansatte i systemet, og finnes brukermanual for begge. Alt av avvik kan meldes der. Innmelding av personvernbrudd finnes under kategorien lover og regler. Datatilsynet har ikke konstatert avvik. Datatilsynet vil imidlertid påpeke at det mangler en kategori for om et avvik skal meldes til Datatilsynet Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Arbeidstilsynet bruker Active Directory til å styre autentisering. Det er brukernavn og passord for alle systemer. Det finnes en rutine for å gi tilgang til et system ved at nærmeste leder sender en melding til service desk om hvilke rettigheter en bruker skal ha. Arbeidstilsynet har en hjemmekontorløsning med to-faktorautentisering på VPN hvor det sendes SMS fra Checkpoint brannmur. Det er tilgang til alle fagsystem fra hjemmekontor. Arbeidstilsynet har i dag kun én sone, som er intern. De har planer om å sette opp to soner; én sikker sone og én intern sone i løpet av Utstyr er kjøpt inn, men de har manglet personell. De har fullført klassifisering av fagsystem, som skal være på henholdsvis sikker og intern sone. 9 av 11

12 Datatilsynet bemerker at Arbeidstilsynet skal ha tilfredsstillende informasjonssikkerhet. Det kan for eksempel oppnås ved å etablere sikker sone for fagsystemer som behandler sensitive personopplysninger. Vi mener også at Arbeidstilsynet bør risikovurdere tilgangen til fagsystemene fra hjemmekontor, og vurdere mulighetene til å begrense tilgang til det enkelte fagsystem over VPN. Datatilsynet har ikke konstatert avvik. Det legges imidlertid til grunn at virksomheten selv vurdere om nødvendige sikkerhetstiltak gjennom risikovurderinger etablert, jf. rapportens Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Personvernombud har gitt opplæring av behandling av personopplysninger til prosesseiere og i noen avdelinger. Det finnes e-læringskurs innen informasjonssikkerhet. De planlegger å gjennomføre en ny runde med holdningsskapende aktiviteter innen informasjonssikkerhet. Det er etablert et prosesseierforum hvor de diskuterer informasjonssikkerhet. Det finnes ingen konkret opplæring av de nyansatte, men alle nyansatte signerer regler for ITbruk. Det finnes en egen opplæringspakke for nyansatte som kalles FIA Første år i Arbeidstilsynet. Her gis det opplæring i avvikshåndtering. FIA kjøres to ganger i året. Datatilsynet har ikke konstatert avvik. 6.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, 10 av 11

13 jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Arbeidstilsynet benytter SAP, har tjenestegrensesnitt mot WebCruiter, cut-e, Oberthure, Metafocus, og benytter tjenester fra Altinn og DFØ. Arbeidstilsynet bruker cut-e til profilbygging i forbindelse med rekruttering til høyere stillinger. Det behandles personopplysninger i løsningen. Datatilsynet har sett nærmere på databehandleravtale med cut-e, som vi fikk oversendt i etterkant av kontrollen. Avtalen består av tre deler som er utarbeidet av cut-e; Online Assessment System Agreement (kontrakt mellom cut-e og Arbeidstilsynet), Personvernerklæring (hentet fra nettsidene til cut-e), og et generelt skriv om informasjonssikkerheten til systemene til cut-e. Av den tilsendte dokumentasjonen finner vi ikke at det eksisterer en reell databehandleravtale fra Arbeidstilsynet. Dokumentasjonen inneholder generell informasjon om servere, software, fysisk sikring, lagring og anonymisering av personopplysninger, tilgangskontroll og backup. Avtalen for cut-e inneholdt ikke elementer som: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende informasjonssikkerhet, jf. personopplysningsforskriften kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Avtalens varighet Opplysninger om avtalens varighet Hva som skjer med opplysningene etter at avtalen er opphørt Sikkerhetsrevisjon Overføring til utlandet Mangelfull databehandleravtale med cut-e er et avvik, jf. personopplysningsloven 15, jf. forskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å ha databehandleravtaler. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 11 av 11