Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Transkript

1 KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : : E: 210 : W. S. Eris m. fl. Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11 INFORMASJONSSIKKERHET I SANDNES KOMMUNE Saken gjelder Saken gjelder informasjonssikkerhet(is 1 ) ved behandling av personopplysninger 2. Det vises til sak 27/10 som ble behandlet i bystyret 2. mars I samsvar med vedtaket har rådmannen initiert revidering av gjeldende organisering, rutiner og bestemmelser knyttet til informasjonssikkerhetsarbeidet i Sandnes kommune, sendt statusrapport til kontrollutvalget, samt foretatt en vurdering av å opprette personvernombud. Rådmannen legger i denne saken frem forslag til revidert informasjonssikkerhetspolitikk for Sandnes kommune, samt en vurdering av å opprette personvernombud. Bakgrunn I nevnte sak Forvaltningsrevisjonsrapport: Elektronisk behandling av sensitive personopplysninger ble følgende anbefalinger vedtatt: 1. Avsette tilstrekkelige ressurser, slik at tilfredsstillende informasjonssikkerhet opprettholdes. 2. Gjennomføre risikovurderinger når datasystemer endres eller det oppstår endringer i trusselbildet. 3. Kontrollere, med jevne mellomrom, at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer etter sin hensikt. 4. Kontrollere at sikkerhetsmål, strategi og organisering av kommunens datasystem, er i samsvar med virksomhetens behov. 5. Forbedre rutiner for avviksbehandling. Med bakgrunn i vedtaket og egne funn knyttet til arbeidet med informasjonssikkerhet besluttet rådmannen å opprette et prosjekt med blant andre følgende tiltak: 1. Avsette tilstrekkelige ressurser, slik at tilfredsstillende informasjonssikkerhet opprettholdes. 2. Gjennomføre risikovurderinger når datasystemene endres, eller når det oppstår endringer i trusselbildet. 3. Sørge for tilfredsstillende rutiner for og gjennomføre sikkerhetsrevisjoner. 4. Gjennomføre ledelsens årlige gjennomgang med utgangspunkt i vedtatte rutiner. 5. Forbedre rutinene for avviksbehandling. 6. Vurdere å opprette personvernombud Revidering av styringssystem for informasjonssikkerhet Prosjektet revitalisering IS 2010 startet august Prosjektet er organisert med en styringsgruppe som består av organisasjonsdirektør og to kommunaldirektører, og en prosjektgruppe på 3 medlemmer. 1 Informasjonssikkerhet kan i noen avsnitt være forkortet med IS. 2 Behandling av personopplysninger er enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Side 1 av 4

2 Prosjektets hovedmålsetting er å revidere Sandnes kommunes styringssystem for informasjonssikkerhet for å sikre at behandling av personopplysninger skjer ihht personopplysningsloven. Dette skal oppnås gjennom kontinuerlig fokus på informasjonssikkerhet i det daglige arbeidet, samt systematisk gjennomføring av kontrolltiltak. Prosjektets første tiltak var knyttet til avsetting av ressurser. Rådmannen gjenopprettet IS-forum, et rådgivende organ i arbeidet med informasjonssikkerhet, medlemmene deltar i gjennomføringen av dette prosjektet. Kommunens styringssystem for informasjonssikkerhet skal utformes i henhold til krav i personopplysningsloven (POL) og personopplysningsforskriften(pof), og blir derfor revidert med bakgrunn i nevnte lov og forskrift, en veileder fra Datatilsynet om intern kontroll og informasjonssikkerhet, samt Norm for informasjonssikkerhet for helsesektoren. Systemet dokumenteres i IS-håndboken i form av styrende, gjennomførende og kontrollerende dokumentasjon, blant annet gjennom rutiner for håndtering av personopplysninger og gjennomføring av sikkerhetsrevisjon. Informasjonssikkerhetspolitikken er det overordnede styrende dokument. Den inneholder beskrivelse av ledelse, organisering, formål med behandlingene, fastsettelse av sikkerhetsmål og strategi, samt nivå for akseptabel risiko. Det utarbeides rutiner for å underbygge og gjennomføre politikkens mål og strategier, og alt skal dokumenteres i IShåndboken. Det videre arbeidet for å nå prosjektets målsetting vil være iverksetting av vedtatt strategi, rutiner og kontrolltiltak som sikkerhetsrevisjon og ledelsens gjennomgang. Vurdering av å opprette personvernombud I sak 27/10 vedtok bystyret å be rådmannen vurdere å opprette personvernombud. Personvernombudsordningen Norge fikk sitt første personvernombud i I følge tall fra Datatilsynets nettsider var det pr ombud, og 28 av disse var ombud i/for til sammen 52 kommuner. De resterende er ombud i/for private bedrifter og statlige, eller fylkeskommunale organ. Det er Datatilsynet som har tatt initiativ til opprettelse av personvernombudordningen, og ordningen er frivilllig. De skriver blant annet følgende om ombudets rolle: Personvernombudet skal bistå den som er ansvarlig for virksomhetens behandling av personopplysninger(behandlingsansvarlig) i arbeidet med å ivareta personvernet. I Sandnes kommune er rådmannen behandlingsansvarlig. Personvernombudets oppgaver etter Datatilsynets standardvedtak Følgende punkter er kontinuerlige plikter etter Datatilsynets standardvedtak; motta meldinger: påse at behandlinger av personopplysninger blir meldt til ombudet, og at meldingene inneholder korrekte og tilstrekkelige opplysninger føre fortegnelse: føre en systematisk og offentlig tilgjengelig fortegnelse over behandlingene gitt i meldingene internkontroll: påse at databehandlingsansvarlig har et system for internkontroll som tilfredsstiller kravene i personopplysningsloven bistå den registrerte: bistå de registrerte med å ivareta deres rettigheter etter reglene om behandling av personopplysninger påpeke brudd på regler: ombudet skal varsle om brudd på reglene for behandling av helse- og personopplysninger overfor databehandlingsansvarlig, og i alvorlige tilfeller bistå ledelsen med å orientere Datatilsynet gi opplysninger til Datatilsynet: ombudet skal gi Datatilsynet opplysninger dersom tilsynet ber om det, herunder foreta undersøkelser i konkrete saker Side 2 av 4

3 holde seg orientert: ombudet skal være faglig orientert om utviklingen innen relevante personvernspørsmål gi råd og veiledning: ombudet er en ressursperson og skal gi råd og veiledning til databehandlingsansvarlige i egen virksomhet Ved å formalisere denne rollen, kan man bli fritatt fra å sende meldinger om behandlinger til Datatilsynet. Det blir ombudets ansvar å motta og oppbevare alle meldinger om behandlinger internt i kommunen, i motsetning til i dag hvor det er Datatilsynet som fører denne oversikten og kontrollen med meldingene. Ansvar og oppgaver lagt til IS-organisasjon i Sandnes kommune Kommunen har en IS-organisasjon, underlagt rådmannen, som består av definerte roller tillagt konkrete oppgaver og ansvar. Rollene er fordelt mellom ansatte, som og innehar andre oppgaver i Sandnes kommune. Til sammen ivaretar disse det daglige ansvaret for gjennomføring av IS-politikken. De konkrete oppgavene er av både koordinerende, gjennomførende, teknisk og kontrollerende art. IS-organisasjonen er akkurat nå under revidering. Vurdering av personvernombud Rådmannens forståelse er at det i noen tilfeller forventes at ombudsrollen skal ha en viss uavhengighet til ledelsen, blant annet for å ivareta rollens integritet. Etter rådmannens vurdering har ikke IS-organisasjonen en type rolle som gjør det naturlig å legge et eventuelt ombud der, og da heller ikke til noen av dem som allerede innehar en rolle i IS-organisasjonen. I kommunens nåværende økonomiske situasjon finnes det heller ikke rom å opprette en ny stiling, for å ivareta en eventuell personvernombudsrolle. En sammenligning av personvernombudets og IS-organisasjonens totale ansvar og oppgaver viser at alle oppgaver bortsett fra en, vil bli ivaretatt av kommunens ISorganisasjonen. Den ene oppgaven er det å skulle motta egne meldinger ved nye/endrede behandlinger. Dette er en oppgave rådmannen mener det er ønskelig at Datatilsynet fortsatt bør ha, blant annet utfra et uavhengig kontrollaspekt. Sandnes kommune ønsker derfor å fortsette som i dag og sende meldinger til Datatilsynet. I dagens system fører Sandnes kommune et register over alle behandlinger, hvor det blant annet er lenke til aktuell melding i Datatilsynets register. I tillegg vil kommunen gjennom intern kontroll selv kontrollere om det å sende meldinger ved nye behandlinger blir gjort ihht gjeldende rutine. Rådmannens vurdering Rådmannens vurdering er at det ikke opprettes en egen rolle som personvernombud i Sandnes kommune. Rådmannen mener at ved å ha en velfungerende IS-organisasjon, som blant annet sørger for god intern kontroll gjennom sikkerhetsrevisjon og ledelsens gjennomgang, vil kommunen ivareta sine plikter på dette området på en tilfredsstillende måte. Saken har vært behandlet i Hamu 21. februar og i Samarbeidsforum 28. februar. Forslag til VEDTAK: Administrasjonsutvalget godkjenner forslag til informasjonssikkerhetspolitikk for Sandnes kommune. Side 3 av 4

4 RÅDMANNEN I SANDNES, Tore Sirnes Rådmann Hilde Lofthus Organisasjonsdirektør Vedlegg 1: Utkast til Informasjonssikkerhetspolitikk for Sandes kommune Vedlegg 2: Hamus vedtak i saken. Side 4 av 4

5 Håndbok informasjonssikkerhet Informasjonssikkerhetspolitikk Overordnet dokument for behandling av personopplysninger 1 i Sandnes kommune. 2.1 Innledning Sandnes kommune skal behandle personopplysninger 2 i samsvar med kravene i personopplysningsloven (POL) og personopplysningsforskriften(pof). Ihht POL 13 skal det gjennom planlagte og systematiske tiltak sørges for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Alle tiltak skal dokumenteres. 2.2 Sikkerhetsorganisering og ansvar Rådmannen har det overordnete ansvar for at informasjonssikkerheten er i samsvar med kravene i POL og POF. Rådmannen skal sørge for: Tilstrekkelige ressurser, både personell og økonomiske, slik at tilfredsstillende informasjonssikkerhet opprettholdes. At kommunen har en sikkerhetsorganisasjon med ansvar for å etablere, gjennomføre og vedlikeholde dokumentasjon, samt tiltak knyttet til informasjonssikkerheten. Jevnlig gjennomføring av intern kontroll. Rådmannen kan delegere ansvar for daglige arbeidsoppgaver, men ikke ansvaret i forhold til loven. 2.3 Behandling av personopplysninger Overordnede rammer og formål Sandnes kommune behandler personopplysninger knyttet til utøvelse av lovhjemlede plikter og krav, herunder levering av tjenester og oppfølging av ansatte. Ved iverksetting av en ny behandling av personopplysninger skal den ansvarlige identifisere formålet og fastsette behandlingsgrunnlaget ihht POL 8 og Oversikt over personopplysninger som behandles For å ivareta sine plikter skal kommunen registrere og vedlikeholde en oversikt over alle personregistre (personopplysninger som behandles), samt hvilke opplysninger som inngår i disse. 2.4 Sikkerhetsmål Sandnes kommune skal ved behandling av personopplysninger sikre at: Personopplysninger kun samles inn eller bearbeides når den opplysningene omhandler har gitt samtykke, eller det er fastsatt i lov at det er adgang til slik behandling. 1 Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson. 2 Behandling av personopplysninger er enhver bruk av personopplysninger, som f.eks. innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter. Informasjonssikkerhetspolitikk Side 1 av 2

6 Håndbok informasjonssikkerhet Konfidensialitet blir ivaretatt ved å hindre uvedkommende i å få tilgang til opplysningene. Integritet beskyttes gjennom at informasjonen ikke er utsatt for uautorisert eller utilsiktet endring. Tilgjengelighet ivaretas ved at autoriserte brukere har tilgang til nødvendige opplysninger når de utfører pålagte oppgaver. 2.5 Sikkerhetsnivå Ved etablering av nye behandlinger av personopplysninger skal det gjennomføres risikovurderinger. I rutine for risikovurdering skal det være regler for fastsettelse av akseptabel risiko. Etablering av nye sikringstiltak skal være basert på gjennomførte risikovurderinger. 2.6 Sikkerhetsstrategi Valg og prioriteringer for å sikre personopplysninger og behandling av disse. Det skal opprettes en sikkerhetsorganisasjon med klare ansvars- og myndighetsforhold. Arbeidet med informasjonssikkerhet skal forankres i øverste ledelse og inngå i ansvarsområdet en leder til enhver tid har. Alle behandlinger av personopplysninger skal registreres i en samlet oversikt. Det skal gjennomføres risikovurderinger ved etablering av nye behandlinger av personopplysninger, samt endringer i trusselbildet. Den datatekniske løsningen skal støtte opp om sikkerhetsmål og strategier gjennom tilfredsstillende forvaltning av utstyr, system og data. Tilgang til systemer og informasjon gis til ansatte etter behov relatert til arbeidsoppgaver. Det skal gis opplæring og informasjon til brukere av kommunens datasystem for å sikre at gjeldende sikkerhetskrav blir ivaretatt. Uvedkommende skal hindres tilgang til systemer og informasjon. Det skal sikres at personopplysninger ikke forandres utilsiktet eller uautorisert. Det skal være mulig å spore uønskede hendelser knyttet til bruk av kommunens datasystem. Fysisk sikring skal hindre at uautoriserte får adgang til lokaler der personopplysninger lagres og behandles. Det skal være tatt i bruk rutiner og prosesser for å håndtere uønskede hendelser, avvik. Det skal gjennomføres tilfredsstillende intern kontroll, herunder sikkerhetsrevisjoner og ledelsens årlige gjennomgang. I håndbok for informasjonssikkerhet skal det dokumenters hvordan strategien skal gjennomføres og etterleves i praksis. Informasjonssikkerhetspolitikk Side 2 av 2

7 Rådmannen her Sandnes, Vår ref: Deres ref: Arkivkode: Saksbehandler: Rune Mangersnes REVISJON AV KOMMUNENS INFORMASJONSSIKKERHETSPOLITIKK VURDERING AV PERSONVERNOMBUDSROLLE Hovedarbeidsmiljøutvalget (HAMU) hadde sak om Revisjon av kommunens informasjonssikkerhetspolitikk Vurdering av personvernombudsrolle til behandling i møte (sak 13/10). På bakgrunn av saken som ble lagt fram og den orientering som ble gitt om personvernombudsordningen gjorde HAMU følgende Vedtak: HAMU tar saken til orientering og støtter rådmannens forslag om ikke å opprette eget personvernombud for Sandnes kommune Rune Mangersnes Sekretær HAMU