STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET

Transkript

1 STYRINGSDOKUMENT FOR PERSONVERN OG INFORMASJONSSIKKERHET Toppdokument Felles toppdokument Sikkerhetsloven Grunnlagsdokument for sikkerhet Håndtering av brukerhenvendelser Personopplysningsloven Styringsdokument Policydokument Rutine for innhenting av samtykke Styrende nivå Generelle retningslinjer Policynivå Gjennomførende nivå Avdeling 1 Oppgave 1 Oppgave 2 Spesifikke retningslinjer 1

2 Endringslogg Versjo n Dato Endring Utført av Godkjent av Første versjon CHAA Ida Børresen Justert oversikt over vedlegg CHAA CHAA Revidert versjon før høringsrunde CHAA Rebekka Gundhus Revidert etter høringsrunden, noe informasjon er flyttet til det som kalles toppdokumentet. Fremlagt for DM Ferdigstilling etter DM-behandling. Tillagt en setning om SIS-forskriften i 5.1 og Sis-lov og forskrift i vedlegg 1, i etterkant av DM-behandling. Innhold CHAA CHAA Rebekka Gundhus Ida Børresen i DM INNLEDNING OVERSIKT OG SAMMENHENG I DOKUMENTSTRUKTUREN MÅL FOR PERSONVERN OG INFORMASJONSSIKKERHET STRATEGI ROLLER OG ANSVAR Direktør Koordinator for personvern og informasjonssikkerhet Avdelingsdirektører AEF-direktør Enhetsledere Medarbeidere Prosjektledere Sikkerhetsrådgivere Sikkerhetssjef Internrevisjon... 9 OVERSIKT OVER VEDLEGG... 9 VEDLEGG 1 - OVERSIKT OVER DE MEST SENTRALE LOVER SOM UDI MÅ FORHOLDE SEG TIL VEDLEGG 2 - OVERSIKT OVER FORMÅL OG BEHANDLINGSOMRÅDER I UDI VEDLEGG 3 - PRIORITERTE OMRÅDER Innledning Som ledd i UDIs oppgaveløsning innhentes det store mengder personinformasjon om søkere og andre berørte og deres relasjoner. Tilgang til opplysninger er nødvendig for å iverksette og bidra til å utvikle regjeringens innvandrings- og flyktningpolitikk slik som forventet. Denne personinformasjonen er ofte av meget personlig og sensitiv karakter. UDIs skal være et brukerorientert og åpent direktorat som utfører sine oppgaver så effektivt som mulig samtidig som vi opptrer innenfor rammene av lover, forskrifter, instrukser og internasjonale forpliktelser og egne kjerneverdier om menneskeverd, profesjonalitet og helhet. Søkere, berørte og andre aktører må både kunne forvente og rent faktisk ha tillit til at UDI forvalter personopplysninger på en betryggende måte. Ivaretakelse av personvern og informasjonssikkerhet er derfor avgjørende for at UDI for å lykkes med oppgaveløsningen. Hvorfor personvern og sikkerhet viktig i UDI og hvilke særlige utfordringer vi har i UDI kan du lese mer om i Felles toppdokumentet som gir en oversikt over sikkerhetsarbeidet i UDI. 2

3 2. Oversikt og sammenheng i dokumentstrukturen Dokumentene som til sammen utgjør UDIs internkontrollsystem har vi delt inn i nivåer. Styringsdokumentet (dette dokumentet) inneholder sikkerhetsmål og overordnede strategier i tillegg til beskrivelse av rolle- og ansvarsbeskrivelsen. Oversikt og sammenheng mellom dokumentene kan illustreres på følgende måte: 3. Mål for personvern og informasjonssikkerhet Hensikten med arbeidet med personvern og informasjonssikkerhet er å bidra til at UDI når virksomhetsmålene, samt sikre UDIs allmenne tillit og renommé overfor søkere, samarbeidspartnere og tilsynsmyndigheter. Det krever at UDI behandler personinformasjon på en betryggende måte i tråd med de rettslige rammebetingelsene. Dette gjøres ved å forebygge uønskede hendelser som kan true personvernet og begrense konsekvenser dersom de skulle inntre. Målet for personvern og informasjonssikkerhet i UDI er: Å ivareta personvernet for den enkelte ved behandling av personopplysninger som UDI er ansvarlig for. Det innebærer å sikre at alle typer behandlinger 1 av personinformasjon er i tråd med relevante lover og forskrifter og med tilstrekkelig ivaretakelse av krav til kvalitet. Dette gir følgende delmål: Å behandle informasjon i tråd med konfidensialitetskrav. Det innebærer å sikre at informasjonen behandles av autoriserte 2 personer på bakgrunn av tjenestlig behov og ikke kommer uvedkommende i hende. 1 Med behandling menes alle former for opprettelse, registrering, sammenstilling, gjenbruk, lagring og utlevering. 2 Med autorisert menes her at vedkommende faktisk er tildelt oppgaven med å behandle disse opplysningene. Bruk av begrepet autorisert her må ikke forveksles med tilsvarende begrepsbruk i Sikkerhetsloven. 3

4 Å ivareta kvaliteten av personinformasjonen. Det innebærer å sikre at informasjon er korrekt, oppdatert og fullstendig og at den ikke kan endres som et resultat av uautoriserte eller utilsiktet handlinger uten at det avdekkes. Å sikre at informasjonen er tilgjengelig for de som er autoriserte ved tjenestlig behov. Det innebærer å sikre at UDI har tilstrekkelige rutiner og at informasjonssystemene har en driftsstabilitet som samsvarer med Utlendingsdirektoratets behov. 4. Strategi For å nå målene for personvern og informasjonssikkerhet, skal UDI følge både lovpålagte og interne sikkerhetskrav. Disse kravene er systematisert nedenfor i temaområder. Hvert av temaområdene består av flere strategiske delmål som samlet sett bidrar til å bygge opp under oppnåelse av målet for personvern og informasjonssikkerhet. Kravene baseres på relevante rettslige rammebetingelser, særlig personopplysningsloven med forskrifter 3 og på Norsk Standard i serien som anses som best practice på dette området og da særlig og , men innholdet og vektingen av de ulike temaene er tilpasset UDIs behov. Temaområdene og UDIs strategiske delmål er som følger: 1. Sikkerhetsorganisering, risikostyring og kontroll av etterlevelse Å sikre ledelsesforankring og styre arbeidet med personvern og informasjonssikkerhet i UDI. Å sikre at krav til personvern og informasjonssikkerhet ivaretas i alle deler av UDIs behandling av personopplysninger, inkludert det som skjer i UDIs informasjonssystemer. Å kontinuerlig forbedre og effektivisere sikkerhetstiltak gjennom å identifisere relevante sårbarheter som må motvirkes for å sikre et akseptabelt risikonivå. Å sikre at informasjon om uønskede hendelser og avdekkede svakheter i forbindelse med behandling av informasjon formidles til rette vedkommende slik at det vil være mulig å treffe korrigerende tiltak på en effektiv og hensiktsmessig måte. Å legge til rette for enhetlig styring og kontroll ved å integrere personvern og informasjonssikkerhet med øvrige internkontrollsystemer. 2. Sikkerhetskultur og kompetanse Å etablere og vedlikeholde en organisasjonskultur der medarbeidernes kompetanse, holdninger og atferd bidrar til å ivareta grunnleggende personvernhensyn og virksomhetens behov for tilfredsstillende informasjonssikkerhet, slik at faren for menneskelige feil, tyveri, svindel, ureglementerte handlinger og misbruk av informasjon og informasjonssystemer minimaliseres. Å legge til rette for systematisk læring i organisasjonen og av medarbeidere, slik at sårbarheter forebygges og reduseres Å sikre videreutvikling av en kompetent sikkerhetsorganisasjon. 3. Personvern Å sikre personvernet for alle de personer som UDI behandler opplysninger om gjennom etterlevelse av rettslige rammebetingelser. Det vil bl.a. innebære å sikre at det alltid foreligger et behandlingsgrunnlag, oppfylle krav til kvalitet av opplysningene, ivareta den enkeltes rett til innsyn i egne opplysninger og informasjon om hvordan de behandles, samt hindre gjenbruk til andre formål enn de som det er gitt samtykke til eller som er hjemlet. Å ivareta bestemmelser om taushetsplikt slik at ikke informasjon kommer uvedkommende i hende. 4. Administrasjon av verdier (aktiva) Å opprettholde nødvendig beskyttelse av virksomhetens verdier av betydning for ivaretakelse av personinformasjon gjennom å ha en oversikt over disse, definere ansvarsforhold og akseptabel bruk, samt klassifisere informasjon og informasjonssystemer, slik at riktig beskyttelsesnivå kan fastsettes og iverksettes. Verdier og aktiva kan typisk være informasjon, systemer eller datamaskiner. 3 Det er flere lover som har betydning for UDIs arbeid med personvern og informasjonssikkerhet. I vedlegg 2 gis en oversikt. 4 NS-ISO/IEC 27002:25 Informasjonsteknologi, Sikkerhetsteknikk og Administrasjon av informasjonsteknologi. 4

5 5. Fysisk sikring Å beskytte personer, lokaler, informasjon og eiendeler mot uautorisert adgang eller misbruk, for eksempel i form av innbrudd, hærverk, tyveri og annet tap eller skadeverk på UDIs verdier. 6. Autorisasjon og tilgangskontroll Å styre og kontrollere at tilgangsrettigheter til informasjon og informasjonssystemer er i tråd med tjenestlig behov Å sikre et effektivt autorisasjons- og tilgangsregime slik at brukernes tildelte rettigheter er korrekte til enhver tid Å forhindre uautorisert tilgang til nettverkstjenester, operativsystemer, og applikasjoner. 7. Anskaffelse, utvikling og vedlikehold av informasjonssystemer Å påse at informasjonssikkerhet er en integrert del av anskaffelses-, utviklings- og vedlikeholdsprosesser for alle typer informasjonssystemer. Å redusere risiko for feil og for at kjente sårbarheter i applikasjoner, programvare og andre systemer kan bli utnyttet. Å kontrollere tilgang til våre informasjonssystemer i forbindelse med utkontraktering av programvareutvikling og IT driftstjenester. 8. Kommunikasjons- og driftsadministrasjon/ Samhandling med andre Å sikre korrekt og sikker drift av informasjonsbehandlingsutstyr, samt redusere risikoen for systemfeil. Å innføre og opprettholde tilstrekkelig informasjonssikkerhet og kvalitet i tjenester som skal leveres til eller av tredjepart. Å forhindre uautorisert innsyn, endring, fjerning eller ødeleggelse av konfidensiell informasjon i lagringsmedier, nettverk og den underliggende infrastrukturen Å avsløre uautoriserte informasjonsbehandlingsaktiviteter gjennom tilstrekkelig overvåkning for å avdekke forsøk på manipulering og uautoriserte handlinger. Å påse at konfidensiell informasjon ikke utleveres eller på annen måte tilgjengeliggjøres uten at det er foretatt en tilfredsstillende vurdering av grunnlaget og om det foreligger tilfredsstillende ivaretakelse av informasjonssikkerhet og avtaler som forplikter mottaker til slik tilfredsstillende informasjonssikkerhet. 9. Kontinuitetsplanlegging Å motvirke avbrudd i direktoratets virksomhetsprosesser og beskytte kritiske driftsprosesser mot konsekvensene av større feil i informasjonssystemer eller katastrofer, og sikre at berørte prosesser kan gjenopptas i tråd med de rammer som er avtalt for tidsavbrudd. Det skal være tiltak mot skader som følge av brann, vann, tyveri/innbrudd, strømsvikt og ustabilitet. 5. Roller og ansvar Utlendingsdirektoratets ledelse har det overordnede ansvaret for at personvern og informasjonssikkerhet blir ivaretatt i etaten, mens alle ansatte har et medansvar for å etterleve de krav og forventninger som følger av den enkeltes rolle og tilhørende ansvar. I dette kapittelet er ansvarsområdene for de ulike rollene hos UDI beskrevet Direktør Direktør for UDI har det overordnede ansvaret for at all informasjon behandles i henhold til gjeldende krav til personvern og informasjonssikkerhet. UDIs direktør har følgende formelle roller: Behandlingsansvarlig i forhold til personopplysningsloven Virksomhetens leder i forhold til sikkerhetsloven Sikkerhetsleder etter forskrift om Schengen Informasjonssystem (SIS). Dette innebærer følgende ansvar: Gjennomføre ledelsens gjennomgang av arbeidet med personvern og informasjonssikkerhet regelmessig. Godkjenne endringer i styringsdokumentet, herunder endringer i etatens mål og prioriteringer av betydning for arbeidet med personvern og informasjonssikkerhet. 5

6 Godkjenne endringer i fastsatt akseptabelt risikonivå for personvern og informasjonssikkerhet i UDI. Delegere ansvar og myndighet for å ivareta personvern og informasjonssikkerhet i UDI og påse at det avsettes tilstrekkelige ressurser til dette arbeidet, herunder utnevne ansvarlige på områder der det anses hensiktsmessig. Sikre at UDI innretter organisering og oppgaveløsning slik at rettslige rammebetingelser og interne retningslinjer blir etterlevd. Bidra til å skape en felles forståelse for risikobildet og behovet for sikringstiltak slik at arbeidet med personvern og informasjonssikkerhet gis nødvendig tyngde og legitimitet i hele organisasjonen. Vurdere om sikkerhetsmessige hendelser er så vesentlige at de skal varsles til departementet i tråd med eskaleringsprinsippene. 5.2 Koordinator for personvern og informasjonssikkerhet Koordinator for personvern og informasjonssikkerhet skal legge til rette for at arbeidet med personvern og informasjonssikkerhet planlegges, utføres og kontrolleres innenfor rammen av lover, forskrifter, konsesjonsvilkår og direktoratets egne styringsdokumenter. Koordinator har en uavhengig rolle internt i UDI for å påse at personvernhensyn ivaretas og krav til informasjonssikkerhet oppfylles. Dette innebærer å avdekke avvik og påpeke brudd på personopplysningsloven til enhetsledere, avdelingsdirektører og/eller direktøren i tråd med eskaleringsprinsippene. Videre skal koordinator veilede om personopplysningslovens krav til behandling av personopplysninger til hele organisasjonen. Dette innebærer følgende ansvar: Forberede behandling av endringer i styringsdokumentet. Videreutvikle internkontrollsystemet for personvern og informasjonssikkerhet, herunder etablering av risikostyring og oppfølging av kontrolltiltak i samarbeid med sentrale aktører i UDI. Ivareta UDIs kontakt med Datatilsynet og koordinere dialog og aktiviteter knyttet til personvern og informasjonssikkerhet overfor Datatilsynet og andre relevante tilsynsmyndigheter. Holde oversikt over meldinger og konsesjonssøknader sendt til Datatilsynet og bistå avdelingene med å sende nye meldinger og konsesjonssøknader. Utarbeide generelle retningslinjer innen personvern og informasjonssikkerhet Bistå avdelinger med utarbeidelse av spesifikke retningslinjer for ivaretakelse av personvern og informasjonssikkerhet innen avdelingenes ansvarsområder. Tilrettelegge for nødvendig opplæring innen personvern- og informasjonssikkerhet og veilede andre avdelinger og enheter. Bistå så langt kapasiteten tillater i utvikling og endringer av informasjonssystemer som kan få betydning for ivaretakelse av personvern og informasjonssikkerhet. Følge opp hendelser og avdekkede avvik ved å gi råd til ansvarlig enhet og påse at tiltak blir vurdert. Holde oversikt over avdekkede avvik og rapportere status til ledergruppen. Planlegge, koordinere og delta i kontrollaktiviteter for personvern og informasjonssikkerhet. Tiltak for ivaretakelse av personopplysningsloven vil på flere områder kunne være sammenfallende med tiltak som følger av sikkerhetsloven, det er derfor viktig med et nært samarbeid mellom Sikkerhetssjef og Koordinator for personvern og informasjonssikkerhet. 5.3 Avdelingsdirektører Avdelingsdirektørene er ansvarlig for å ivareta personvern og informasjonssikkerhet innenfor sitt eget ansvarsområde. En avdelingsdirektør skal påse at alle relevante krav fra lover, forskrifter og eventuelle kontraktmessige forpliktelser er tydelig definert, dokumentert og etterlevd innen eget ansvarsområde. Dette innebærer følgende ansvar: Delegere ansvar og myndighet for å ivareta personvern og informasjonssikkerhet til ledere i avdelingen og påse at det avsettes tilstrekkelige ressurser til arbeidet. Utpeke en sikkerhetsrådgiver for avdelingen som gis reell mulighet til å utøve sine oppgaver. Påse at avdelingen innretter organisering og oppgaveløsning slik at rettslige rammebetingelser og interne retningslinjer blir etterlevd. 6

7 Bidra til å skape en felles forståelse i avdelingen for risikobildet og behovet for sikringstiltak, slik at arbeidet med personvern og informasjonssikkerhet gis nødvendig tyngde og legitimitet Oppmuntre til at identifiserte avvik rapporteres for å sikre utbedring av svakheter som kan true ivaretakelse av personvern og informasjonssikkerhet i UDI, og for å sikre læring. Påse at avdelingen har dokumentasjon for relevante informasjonssystemer og arbeidsprosesser som avdelingen er ansvarlig for, og at brukere får nødvendig opplæring i riktig og effektiv bruk. I tråd med eskaleringsprinsippene vurdere om sikkerhetsmessige hendelser skal rapporteres til direktør. 5.4 AEF-direktør Avdeling for elektronisk forvaltning (AEF) har ansvar for drift av UDIs informasjonssystemer, samt forvaltning og utvikling av utlendingsforvaltningens felles fagsystemer. Dette innebærer et særlig ansvar for ivaretakelsen av informasjonssikkerhet i anskaffelser, utvikling og bruk av IKT-verktøy som kommer i tillegg til det som gjelder alle avdelingsdirektører. Dette innebærer følgende ansvar: Sørge for å ivareta krav til personvern og informasjonssikkerhet i eksisterende løsninger og utviklingsprosjekter Sørge for at det gjennomføres risikovurderinger og at det rettes oppmerksomhet mot risiko av betydning for informasjonssikkerhet i IKT-systemene. Sørge for å etablere og etterleve rutiner ved å: o Oppdatere og vedlikeholde en oversikt over aktiva i UDI som avdelingen er ansvarlig for o Legge til rette for og vedlikeholde tilfredsstillende identitets- og tilgangsstyring o Drifte, vedlikeholde og sikre tekniske løsninger og serverrom o Logge, gjennomgå og rapportere hendelser Sørge for at relevante sikkerhetskrav inngår i AEFs avtaler med eksterne leverandører og andre databehandlere avdelingen er ansvarlig for å inngå avtale med. Videreutvikle strategier og anbefalinger for informasjonssikkerhet i UDI Utarbeide drifts- og kontinuitetsplaner for IKT Utarbeide og vedlikeholde beredskapsplaner og gjennomføre beredskapsøvelser Sørge for informasjon og holdningsskapende arbeid rundt informasjonssikkerhet Sørge for at det regelmessig gjennomføres sikkerhetsrevisjoner innen eget ansvarsområde. 5.5 Enhetsledere Med enhetsleder menes typisk områdeledere, underdirektører og andre linjeledere. En enhetsleder skal påse at alle relevante krav til personvern og informasjonssikkerhet fra lover, forskrifter og eventuelle kontraktmessige forpliktelser er tydelig definert, dokumentert og etterlevd innen eget ansvarsområde. Det gjøres ved å vurdere risiko for at det kan forekomme brudd på personvern og informasjonssikkerhet i egen enhet som grunnlag for å vurdere egne oppfølgingstiltak og identifisere behov for bistand fra andre. Det innebærer følgende ansvar innen eget ansvarsområde: Sørge for at det avsettes tilstrekkelige ressurser til personvern og informasjonssikkerhetsarbeid. Sørge for at det ikke foretas behandlinger av personopplysninger uten gyldig behandlingsgrunnlag. Sørge for at enheten etterlever generelle rutiner for ivaretakelse av brukernes rett til innsyn, informasjon, retting av feilaktige opplysninger og sletting når formålet er oppnådd og at det ikke gjenbrukes informasjon til andre formål uten at det foreligger tilstrekkelig hjemmel eller samtykke fra den enkelte. Sørge for at de generelle retningslinjer suppleres ved behov. Bidra til at de informasjonssystemer og utviklingsprosjekter enheten er ansvarlig for tilfredsstiller definerte krav til personvern og informasjonssikkerhet, herunder at det foreligger dokumentasjon for informasjonssystemer og arbeidsprosesser. Sørge for at det for de systemer og fagprosesser som enheten er ansvarlig for er rutiner for å klassifisere informasjon i forhold til behov for kvalitetssikring, konfidensialitet, integritet og tilgjengelighet, og at dette gjøres slik at riktig beskyttelsestiltak kan fastsettes i samarbeid med andre enheter i UDI. Sørge for at alle avtaler enheten inngår med eksterne leverandører eller databehandlere inneholder krav som ivaretar personvern og informasjonssikkerhet 7

8 Sørge for at enheten har rutiner og praksis for å avklare forholdet til konsesjon og meldeplikt ved endringer som følge av nye opplysningstyper eller behandlingsmåter som enheten initierer eller som er enhetsspesifikk. Sørge for at det regelmessig gjennomføres risikovurderinger for personvern og informasjonssikkerhet i egen enhet og at eventuelle uakseptable forhold identifiseres og følges opp. Bidra til å skape en felles forståelse for risikobildet og det tilhørende behovet for sikringstiltak slik at arbeidet med personvern og informasjonssikkerhet gis nødvendig tyngde og legitimitet i egen enhet. Sørge for at medarbeidere i enheten har tilstrekkelig kunnskaper, ferdigheter og holdninger om personvern og informasjonssikkerhet knyttet til de konkrete oppgaver den enkelte har, og at de får nødvendig opplæring for å sikre riktig og effektiv bruk av informasjonssystemene som benyttes i oppgaveløsningen. Oppmuntre til at identifiserte avvik rapporteres for å sikre utbedring av svakheter som kan true ivaretakelse av personvern og informasjonssikkerhet i UDI, og for læring. Sørge for at avdekkede avvik fra krav til personvern og informasjonssikkerhet faktisk rapporteres, og vurdere om sikkerhetsmessige hendelser skal rapporteres til avdelingsdirektør i tråd med eskaleringsprinsippene. 5.6 Medarbeidere Med medarbeidere menes alle faste og midlertidige ansatte samt innleide konsulenter, inkludert de som er omtalt ovenfor og nedenfor. Medarbeidere har selvstendig ansvar for å ivareta krav til personvern og informasjonssikkerhet i egen oppgaveløsning. Medarbeidere har ansvar for å: Kjenne og etterleve instruks for personvern, IKT og sikkerhet, og andre retningslinjer av betydning for egen oppgaveløsning. Underskrive taushetserklæring og overholde taushetsplikt, også etter at ansettelsesforholdet er avsluttet. Bruke IKT-systemene som beskrevet i brukerdokumentasjonen og melde fra om opplæringsbehov. Melde fra umiddelbart til overordnet leder om brudd på etterlevelse av retningslinjer for personvern og informasjonssikkerhet, eller ved mistanke om dette. Si ifra dersom tilgangsrettigheter ikke lengre stemmer overens med tjenestlige behov, for eksempel ved endring av arbeidsoppgaver. Levere tilbake alt tildelt IKT-utstyr til UDI ved lengre permisjoner, eller fratredelse. 5.7 Prosjektledere Prosjektledere er ansvarlige for at krav til personvern og informasjonssikkerhet blir ivaretatt ved utvikling - både i forhold til organisatorisk-, administrativ- og teknisk utvikling. Dette gjelder enten prosjektlederen arbeider i EFFEKTprogrammet eller i et prosjekt i den vanlige linjeorganisasjonen. Prosjektleder har ansvar for å: Sørge for at personopplysninger behandles i tråd med grunnvilkårene i personopplysningsloven og at informasjon kun benyttes til det formål den er innhentet for Påse at løsningene gir mulighet til innsyn for den som opplysninger gjelder, samt muliggjør retting ved påviste feil, samt sletting når formålet med opplysningene er oppfylt i tråd med de retningslinjer som er gitt. Gjennomføre risikovurderinger og påse at fysiske, organisatoriske og tekniske forhold bidrar til å sikre at kravene til kvalitet, konfidensialitet, integritet og tilgjengelighet blir ivaretatt. Avklare om nyutviklingen innebærer behov for å søke om konsesjon/endringskonsesjon, eller om det vil være tilstrekkelig å informere Datatilsynet. Dette gjøres i samråd med koordinator for personvern og informasjonssikkerhet Rapportere til prosjekteier og oppdragsansvarlig eventuelle avvik i etterlevelse av kravene til personvern og informasjonssikkerhet Sørge for at løsningene dokumenteres i tråd med føringer i UDIs metode for systemutvikling og forvaltning. 5.8 Sikkerhetsrådgivere 8

9 Hver avdeling har minst en sikkerhetsrådgiver som fungerer som ressursperson og pådriver i avdelingene for spørsmål knyttet til personvern, informasjonssikkerhet enten kravene følger av personopplysningsloven, sikkerhetsloven, beskyttelsesinstruksen og andre bestemmelser av betydning for sikkerheten. Sikkerhetsrådgiveren skal være en støtte for avdelingen generelt, og avdelingsdirektøren spesielt. Oppgaver som ivaretas av stillingen er som følger: Være kontakt i avdelingen for sikkerhetssjefen og koordinator for personvern og informasjonssikkerhet. Bidra til at avdelingen kjenner til og etterlever personopplysningsloven og sikkerhetsloven, samt de interne instrukser og rutiner. Være avdelingens ressursperson for etterlevelse av interne instrukser og rutiner, herunder Instruks for personvern, IKT og sikkerhet og andre deler av internkontrollsystemet for personvern og informasjonssikkerhet. Bidra til avklaringer knyttet til personvern og informasjonssikkerhet ved utvikling av nye registre og informasjonssystemer som avdelingen tar initiativ til eller er involvert i. Bidra til å identifisere svakheter og mangler ved de eksisterende sikkerhetsrutinene og til å revidere rutinene. Bidra ved avviksoppfølging i egen avdeling eller resultatområde. Delta i utarbeidelse og gjennomføring av beredskapsrutiner og øvelser. 5.9 Sikkerhetssjef Sikkerhetssjefen skal legge til rette for at UDI tilfredsstiller kravene etter sikkerhetsloven m/forskrifter og beskyttelsesinstruksen. Oppgaver som ivaretas av stillingen er som følger: Etablere og vedlikeholde et styringssystem for sikkerhet i samarbeid med ledelsen og koordinator for personvern og informasjonssikkerhet Gjennomføre kontroll og oppfølging av UDIs sikkerhetsarbeid Sørge for at UDI dokumenterer og kvalitetssikrer rutiner av betydning for sikkerhet Sørge for at relevante sikkerhetsvurderinger gjennomføres ved anskaffelse av nye lokaler m.v. Sørge for at årlige risikovurderinger blir foretatt, bl.a. vedrørende fysisk sikring Koordinere intern kunnskap og erfaringer for å sikre ensartet behandling i sikkerhetsspørsmål Foreta faglig oppfølging av vekterne og andre eksterne leverandører av sikkerhetstjenester Følge opp interne leverandører av sikkerhetstjenester Tilrettelegge for nødvendig opplæring i sikkerhetsspørsmål, herunder både generelle og avdelingsspesifikke kurs Sørge for at sikkerhetsklareringer, autorisasjoner og generell personellsikkerhet overholdes Foreta sjekk av utenlandske statsborgere før de tilsettes i UDI Ha kontakt med politiet ved anmeldelser av straffbare forhold Ha kontakt med ansvarlig departementets sikkerhetsansvarlige Være UDIs kontaktperson ovenfor Nasjonal sikkerhetsmyndighet (NSM) Utarbeide beredskapsplaner Planlegge og gjennomføre beredskapsøvelser Sørge for at de ansattes sikkerhet er tilfredsstillende ivaretatt og at bygningene har tilfredsstillende skallsikring Autorisasjonsmyndigheten er delegert til sikkerhetssjefen. Sikkerhetssjefen har assisterende sikkerhetssjef som sin stedfortreder Internrevisjon Internrevisjonen er direktørens kontrollorgan og bistår denne i arbeidet med å sikre tilstrekkelig internkontroll i virksomheten. Det betyr blant annet at Internrevisjonen er uavhengig av sikkerhetsorganisasjonen, og at velger sine revisjonsoppdrag på fritt grunnlag blant alle enheter i Utlendingsdirektoratet, også når det gjelder spørsmål knyttet til personopplysningsloven eller som på annen måte berører sikkerhet. Sikkerhetsorganisasjonen kan på lik linje med andre enheter samarbeide med samt anmode Internrevisjonen om revisjonsoppdrag og undersøkelser om interne misligheter. OVERSIKT OVER VEDLEGG 9

10 Vedlegg 1 Vedlegg 2 Vedlegg 3 Oversikt over rettslige rammebetingelser av betydning for ivaretakelse av personvern og informasjonssikkerhet i UDI Oversikt over UDIs inndeling i behandlingsområder og formål Prioriterte områder Dette vedlegget vil bestå av en oversikt over de til enhver tid gjeldende føringer fra direktøren om prioriterte områder. 10

11 VEDLEGG 1 - Oversikt over de mest sentrale lover som UDI må forholde seg til Lov og forskrift Personopplysningsloven [LOV nr 31: Lov om behandling av personopplysninger] Personopplysningsforskriften [FOR nr 1265: Forskrift om behandling av personopplysninger] Beskrivelse Personopplysningsloven med forskrift legger føringer for hvilken informasjon Utlendingsdirektoratet har anledning til å innhente, hvordan denne informasjonen skal innhentes og oppbevares, hvem som skal ha tilgang til informasjonen og gir krav til sikring slik at konfidensialitet, integritet og tilgjengelighet ivaretas. Konkret innebærer det at vi kun kan innhente informasjon definert som personopplysninger i loven når det foreligger et behandlingsgrunnlag, det vil si at opplysninger nødvendig for å vurdere vilkår som er forankret i lov, eller hvis personen det gjelder gir samtykke. Videre innebærer det at kun de som har tjenestelig behov for å se informasjonen under saksbehandlingen skal ha anledning til å få innsyn i informasjonen. Loven gir føringer for hvordan personvern og informasjonssikkerhet skal ivaretas gjennom internkontroll og ivaretakelse av melde- og konsesjonsplikt overfor Datatilsynet. Forvaltningsloven [LOV : Lov om behandlingsmåten i forvaltningssaker] eforvaltningsforskriften [FOR nr. 988 Forskrift om elektronisk kommunikasjon i og med forvaltningen] E-signaturloven [LOV :Lov om elektronisk signatur] Offentleglova [LOV nr. 16: Lov om rett til innsyn i dokument i offentleg verksemd] Offentlegforskrifta [FOR nr 1119: Forskrift til offentleglova] Forvaltningsloven med forskrift legger føringer for forsvarlig saksbehandling som medfører at direktoratet skal informere søkere om deres rettigheter og hvilke krav som stilles for å søke våre ulike tillatelser. Videre legger det føringer for hvordan vi vurderer og begrunner våre vedtak. Vedtakene skal være basert på tilstrekkelig informasjon med tilstrekkelig kvalitet og vilkårene skal vurderes likt i like saker uten tilfeldig forskjellsbehandling. Kravene skal være dokumentert og forankret i lov og vedtakene skal gi tilstrekkelig informasjon om omfang og begrunnelse til at søkeren skal kunne innrette seg eller påklage vedtaket og saksbehandlingen. Det stiller blant annet krav til koordinering, gjennomsiktighet, etterrettelighet og dokumentasjon av saksbehandlingen. I tillegg pålegger loven taushetsplikt om visse opplysninger. Forskriften gjelder for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen når ikke annet er bestemt i lov eller i medhold av lov. E-signaturloven legger føringer for hvordan opplysninger og transaksjoner kan avleveres direktoratet elektronisk med bindende virkning for personen som avleverer opplysningene. Offentlighetsloven med forskrift pålegger oss å tilgjengeliggjøre informasjon vedrørende saksbehandlingen for offentligheten og de som blir berørt av våre vedtak. Det innebærer at det må tilrettelegges for innsyn i hva som ligger til grunn for våre vedtak, utfallet av vår saksbehandling, hvilke personopplysninger vi har registrert og hvordan denne informasjonen blir benyttet for å vurdere vilkårene som ligger til grunn for våre vedtak. Loven avgrenser videre hvilke opplysninger som i ulik grad kan unntas offentlighet. Avgrensningen defineres nærmere av bestemmelser i personopplysningsloven, forvaltningsloven, utlendingsloven, sikkerhetsloven og beskyttelsesinstruksen. 11

12 Arkivloven [LOV : Lov om arkiv] Arkivforskriften [FOR nr 1193: Forskrift om offentlege arkiv] Sikkerhetsloven [LOV nr. 10: Lov om forebyggende sikkerhetstjeneste] Forskrift om sikkerhetsadministrasjon [FOR ] Forskrift om informasjonssikkerhet [FOR ] Beskyttelsesinstruksen [FOR nr. 3352: Instruks for behandling av dokumenter som trenger beskyttelse av andre grunner enn nevnt i sikkerhetsloven med forskrifter] Utlendingsloven [LOV :Lov om utlendingers adgang til riket og deres opphold her] Utlendingsforskriften [FOR : Forskrift om utlendingers adgang til riket og deres opphold her] Statsborgerloven [LOV : Lov om norsk statsborgerskap] Statsborgerforskriften [FOR : Forskrift om erverv og tap av norsk statsborgerskap] SIS-loven. [LOV : Lov om Schengen informasjonssystem] SIS-forskriften [FOR : Forskrift til lov om Schengen informasjonssystem] Arkivloven med forskrift legger føringer for hvordan informasjon skal innhentes og arkiveres. Det får betydning for hvilken informasjon som skal lagres hvordan og hvor lenge og hvem som skal ha tilgang til hvilken informasjon fra arkivet. Sikkerhetsloven med forskrifter legger føringer for hvordan gradet informasjon skjermes fra uvedkommende gjennom fysiske og tekniske adgangskontrollsystemer, autorisasjon, logghåndtering med mer. Dette skal bidra til at den datahåndtering som er nødvendig for en praktisk gjennomføring av direktoratets arbeidsoppgaver ikke eksponerer slike opplysninger til uvedkommende. Konkret gir loven anvisning på ulike sikkerhetsgraderinger av informasjon, gjennomførelse av sikkerhetsklarering, autorisasjon og systemer for sikring av informasjon, personell og installasjoner og innvirker på hvordan direktoratet sikrer lokaler, informasjon, personell og tekniske installasjoner. Den angir også hvilke opplysninger som kan innhentes ved sikkerhetsklarering og autorisasjon av ansatte med tilgang til graderte opplysninger. Beskyttelsesinstruksen legger føringer for hvordan vi identifiserer, merker og skjermer særskilte opplysninger, for eksempel vedrørende personer som har fått beskyttelse. Slik skjerming innebærer å avgrense hvilke opplysninger vi innhenter, hvordan og hvor lenge vi oppbevarer opplysningene og hvem som får tilgang til dem. Utlendingsloven med forskrift og statsborgerloven med forskrift legger føringer for hvilke vurderinger direktoratet er pålagt å foreta og hvilken informasjon vi dermed har tjenestelig behov for å innhente og oppbevare for å kunne foreta disse vurderingene. Det avgjør hva vi kan pålegge søkere og andre å opplyse om, hvem som har behov for å se informasjonen og for hvor lenge, definerer formålet med informasjonsinnhentingen, avgrenser hvilke opplysninger vi har anledning til å innhente og oppbevare, og hva vi har anledning til å bruke informasjonen til. Utlendingsdirektoratet plikter å informere søkere og publikum for øvrig om innholdet av disse reguleringene. SIS er et informasjonssystem knyttet til Schengen-samarbeidet. Systemet gir mulighet for registrering av opplysninger om personer og gjenstander. Typisk om hvorvidt en person er uønsket i Schengenområdet Systemet består av en felles del og en nasjonal del for hver deltakerstat. Den norske delen av SIS administreres av Sirene-kontoret ved Kriminalpolitisentralen (Kripos). Datatilsynet har tilsyn med den norske delen av SIS. Loven gir føringer for hva som kan registreres og hvilke vilkår som må være oppfylt, rettigheter for den som er registrert, krav til internkontroll og informasjonssikkerhet. 12

13 Arbeidsmiljøloven [LOV : Lov om arbeidsmiljø, arbeidstid og stillingsvern mv.] Tjenestemannsloven [LOV nr. 3: Lov om statens tjenestemenn] Arbeidsmiljøloven avgrenser hvilke opplysninger det er anledning til å samle inn og kontrollere om de ansatte i virksomheten og påvirker i hvilken grad vi kan overvåke de ansattes bevegelser og handlinger. Dette vil på noen områder begrense muligheten for å kontrollere at ansatte ikke misbruker tilgang til opplysninger, for eksempel gjennom overvåking av tilganger og aktiviteter i fagsystemer. Tjenestemannsloven regulerer arbeidsforholdet til offentlige tjenestemenn. Den gir blant annet anvisning på hvilke konsekvenser brudd på lovbestemmelser og interne instrukser kan få for den enkeltes arbeidsforhold. 13

14 VEDLEGG 2 - Oversikt over formål og behandlingsområder i UDI 14

15 VEDLEGG 3 - Prioriterte områder Dette vedlegget vil bestå av en oversikt over de til enhver tid gjeldende føringer fra direktøren om prioriterte områder og andre føringer for oppgaveløsningen innen sikkerhetsområdet: Per tiden er det følgende tema: Tema Dm-sak nr. Websaknr. Stikkord Sikkerhetskultur 092/08 08/2099 Strategi for videreutvikling av en felles og god sikkerhetskultur 107/11 08/2099 Aktivitetsplan for systematiske arbeid med sikkerhetskultur /08 210/08 08/3469 Instruks for personvern, IKT og sikkerhet 154/10 09/4431 Utvikling av e-læringskurs om instruks for personvern, IKT og sikkerhet Tilgangsstyring og 302/09 09/4208 Retningslinjer for tilgangsstyring utveksling Behandlet 10/716 Overordnede prinsipper for utveksling av informasjon Uønskede hendelser og 123/11 10/2819 Roller og ansvar for oppfølging av uønskede hendelser og avvik avvik Kontroll 11/2740 Kontrollaktiviteter for Det ser ikke ut til at saken er gitt eget Dm-sak nummer, men behandlingen fremkommer av referatet fra møte