Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Transkript

1 Saksnummer: 14/00130 Dato for kontroll: Rapportdato: Kontrollrapport Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo Utarbeidet av: Hallstein Husand, Knut B. Kaspersen og Kim Ellertsen 1 Innledning Datatilsynet gjennomførte kontroll hos Justis- og beredskapsdepartementet 5. mai Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var departementets behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollen ble gjennomført på departementets faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. Foreløpig kontrollrapport ble sendt til departementet, som vedlegg til «Varsel om vedtak» av 27. november 2014, for kommentarer. Departementets tilsvar og tilbakemeldinger er det i den endelige rapporten tatt hensyn til. 2 Tilstede under kontrollen 2.1 Fra departementet: - Tor Saglie, departementsråd (fram til ca 1430) - Erik Blom-Dahl, ekspedisjonssjef - Bernt Jansrud, seksjonssjef IKT - Inger Wraamann, kontrolldirektør - Tine Berg Floater, seksjonssjef, dokumentsenter - Andreas Karbøl Hanssen, rådgiver - Bjørn Mobæk, informasjonssikkerhetsleder 2.2 Fra Datatilsynet: - Kim Ellertsen, avdelingsdirektør - Knut B. Kaspersen, fagdirektør - Hallstein Husand, seniorrådgiver 1 av 12

2 3 Generelt Justis- og beredskapsdepartementet har ca. 400 årsverk fordelt på 9 avdelinger. Sivilt operasjonssenter har 24/7 bemanning. Det er 12 underlagte virksomheter til departementet og 8 virksomheter med administrativ tilknytning. Departementet har jobbet mye med sikkerhetsarbeid og sikkerhetskultur de siste årene, og da særlig knyttet opp mot beredskap og håndtering av gradert materiale etter sikkerhetsloven. Departementet mener dette arbeidet også vil gjenspeile seg i de områdene som har med personvernspørsmål å gjøre. Det er også stilt krav til underliggende virksomheter om at de skal ha på plass et styringssystem for informasjonssikkerhet i løpet av Justis- og beredskapsdepartementet behandler en rekke saker som inneholder personopplysninger, også svært sensitive. Dette gjelder bl.a. i saker om soningsoverføring, benådning, testamentsendringer, fri rettshjelp for utlendinger osv. Dette understreker betydningen av god internkontroll og god informasjonssikkerhet etter personopplysningsloven. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 4. februar 2014, med påfølgende e-post av 28. februar 2014 om at departementet oversendte følgende dokumentasjon: a) oversikt over departementets organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra departementet under kontrollen, dersom dette er avklart. Departementet oversendte dokumenter i brev av 23. april De dokumenter som ble oversendt var i stor grad relatert til arbeidet med å styrke sikkerhets- og beredskapskulturen i departementet. Dessuten var det lagt ved en arkivplan for H-arkiv i departementet, og en policy for informasjonssikkerhet. Datatilsynet ble ikke forelagt noen dokumenterte risikovurderinger knyttet opp mot de behandlinger av personopplysninger som departementet fortar. Rutiner som kan oppfylle pliktene etter 13 og 14 var delvis tatt inn i andre plandokumenter. Det var ikke utferdiget noe egnet eller helhetlig dokument for etterlevelse av personopplysningslovens krav til internkontroll. Loven gir ikke pålegg om at det skal utferdiges noe eget dokument for internkontrollrutiner etter 13 og 14. Det er imidlertid en fordel at rutinene samles så godt som mulig for tilgjengelighetens skyld. En detaljert agenda ble oversendt departementet før kontrollen. 2 av 12

3 5 Kort om kontrollen Under kontrollen ble departementets internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om 14 Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal den behandlingsansvarlige dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Departementet kunne ikke fremvise et internkontrollsystem i henhold til personopplysningsloven 14. De dokumenter som hadde relevans for vurderingen opp mot 14 var delvis tatt inn i andre plandokumenter, men da i noe uferdig form. Det vises her bl.a. til arkivplanen. De fremlagte dokumenter viste et fragmentert bilde av kontroll og sikkerhetssystemer som de hadde utarbeidet. Kravet til et dokumentert og systematisk internkontrollsystem var ikke oppfylt. Departementet viser i sin tilbakemelding til at loven ikke stiller krav om at det skal være et særskilt dokument for å tilfredsstille personopplysningsloven. Det er ikke noe krav, men det er et krav til en helhetlig systematikk og dokumentasjon noe det fremlagte ikke oppfylte. Departementet selv viste også til at det som var fremlagt var mangelfullt. Det er et avvik fra 14 at det ikke er etablert et internkontrollsystem som er dokumenteret. Det som er fremlagt har store mangler. 3 av 12

4 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Faktiske forhold Behandlingsansvaret som tilligger departementet v/departementsråden er synliggjort i organisasjonen, og tilstrekkelig dokumentert Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må departementet ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig del av internkontrollen etter 14, og trengs for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av departementets sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved departementets risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte behandlingsgrunnlag ( 8 og 9) for den enkelte behandling, samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Det er utferdiget en grovmasket oversikt over personopplysninger som behandles i departementet. Dette er gjort i en matriseform, og opplistingen var grovmasket, og har liten verdi når oversikten bl.a. skal anvendes for å gjennomføre risikovurderinger. Det ble også opplyst på møtet at oversikten var av ny dato, noe som kan indikere at departementet ikke hadde utarbeidet noen slik liste tidligere. En oversikt over hvilke opplysninger som den behandlingsansvarlige håndterer skal være uttømmende for å tilfredsstille lovens krav. Detaljeringsnivået må være av en slik karakter at oversikten viser konkret hvilke opplysninger som behandles eksempelvis som svar på 4 av 12

5 forespørsler fra publikum. Risikovurderingene som skal foretas skal omfatte alle opplysninger og behandlinger og det er derfor en nær sammenheng mellom en slik oversikt og hvilke vurderinger som skal være foretatt. Mangelfull oversikt over hvilke personopplysninger som behandles er et avvik, jf. 14 og 13, jf. forskriften Øvrige plikter etter 14 jf. forskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt vurdering av personopplysningenes kvalitet etter 27 og 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av internkontrollens gjennomførende del. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Departementet skal etter 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Departementet har ikke utferdiget dokumenterte rutiner i forhold til enhvers (borgerens) krav på innsyn etter 18, første ledd eller innsynsretten som den registrerte har etter 18, andre ledd. Arkivplanen inneholder rutiner for innsyn. Det er imidlertid tydelig at man her tenker på hvilke rutiner som skal overholdes ved innsynsbegjæringer etter offentlighetsloven. Det er ikke laget rutiner for innsyn etter 18. Departementet sier i sin kommentarer at personopplysningsloven i seg selv lang på vei vil være tilstrekkelig som rutinebeskrivelse, og at en eventuell rutinebeskrivelse i stor grad vil være en gjentakelse av loven. Kravet er at rutinen skal beskrive hvordan dette løses av den enkelte behandlingsansvarlige, hvem som har ansvaret for at innsyn gis og hvordan det konkret skal løses. Rutinene vil kunne variere i forhold til innsynskrav etter andre bestemmelser eksempelvis offentleglova og forvaltningsloven. Rutinene etter personopplysningsloven skal derfor være spesifikke for å sikre at rett informasjon leveres til rette vedkommende og sikre at reglene etterleves.. 5 av 12

6 Manglede dokumenterte rutiner for ivaretakelse av 18, første og andre ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, andre ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Departementet skal etter 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20 andre og tredje ledd og 23. Faktiske forhold Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes krav på informasjon etter 19 og 20. Datatilsynet ser at informasjonsplikten etter 20 i et departement kan være lite anvendbar, gitt at det i hovedsak behandles personopplysninger i henhold til lovhjemler. Det er imidlertid likevel viktig å skille mellom de behandlinger det er knyttet informasjonsplikt til, og hvilke det ikke er knyttet informasjonsplikt til. Manglede dokumenterte rutiner for ivaretakelse av 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1, tredje ledd bokstav d) Retting og sletting I henhold til 11 bokstav e), jf. 27 og 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. Personopplysningsloven 11 bokstav e) krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene 6 av 12

7 ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side 114. Departementet er pliktig å ha rutiner for ivareta personopplysningenes kvalitet, jf. 28. Se forskriften 3-1, tredje ledd bokstav c). Departementet har utferdiget en rutine for å ivareta den registrertes rettigheter etter bestemmelsene om retting og sletting i arkivplanen. Dette er rutiner som følger arkivlovens bestemmelser om kassasjon. Forholdet til arkivverket og kassasjonsbestemmelser er i denne sammenheng ikke tilstrekkelig for å anse rutinen for tilfredsstillende. I tillegg må det utferdiges rutiner for retting/sletting etter personopplysningslovens bestemmelser. Manglede rutiner for ivaretakelse av 27 og 28 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav c) Melde- og konsesjonsplikten I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter Dette kan løses enkelt ved at hvorvidt en behandling er konsesjons eller meldepliktig tas inn i oversikten over behandlinger. At det ikke er utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter er et avvik etter 14, jf. forskriften 3-1, tredje ledd bokstav f). 6.2 Krav om informasjonssikkerhet I henhold til 13 skal departementet gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse 7 av 12

8 I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om det er hensiktsmessig for den behandlingsansvarliges behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet hos den behandlingsansvarlige. Forskriften 2-7 stiller blant annet krav om at den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon. Sikkerhetsmål og sikkerhetsstrategi Departementets sikkerhetsmål er dokumentert i dokumentet «Policy for Informasjonssikkerhetsarbeidet», mens departementets sikkerhetsstrategi ikke kommer like tydelig fram. Departementet gir inntrykk av å ha klare sikkerhetsmål, og det er utviklet en rekke prinsipper for informasjonssikkerhetsarbeidet. Selv om det ikke går helt klart fram at dette er departementets strategi har vi valgt å legge til grunn dette som strategien som sier noe om hvordan man ønsker å arbeide for å nå sine sikkerhetsmål. Sikkerhetsorganisasjon Ansvar og roller for sikkerhetsledelse og beskrivelse av sikkerhetsorganisasjon er tydelig beskrevet og dokumentert Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynlighet for, og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenliknes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Departementet mangler risikovurdering knyttet til de behandlingene av personopplysninger som finner sted. 8 av 12

9 Departementet viser i sitt tilsvar til at de har gjennomført risikovurderinger og at dette kommer til syne indirekte gjennom de rutiner som finnes i arkivplan og andre dokumenter. Datatilsynet opprettholder konklusjonen at departementet ikke har gjennomført risikovurdering i henhold til personopplysningsloven. Kravet er at den skal omfatte all behandling av personopplysninger etter personopplysningsloven i tillegg til andre regler om håndtering av personopplysninger. Det vil for eksempel kunne være forskjellige akseptkriterier etter ulike regelverk, noe som skal vurderes i slike risikovurderinger. Som nevnt over er det vanskelig å vurdere om risikovurderingen er foretatt og om den inneholder tilstrekkelige vurderinger når den ikke er dokumentert. Vi viser også til at oversikten over hvilke personopplysninger som behandles var for lite detaljert til å være et godt grunnlag for risikovurderinger i henhold til loven. Det er imidlertid positivt at de rutinene som er fremlagt inneholder beskrivelser som ivaretar personvernet, men de oppfyller som nevnt ikke kravet til dokumentasjon etter forskriftens 2-4. Manglende risikovurdering etter personopplysningsloven er et avvik i henhold til forskriften 2-4. Departementet må sørge for å utarbeide en risikovurdering basert på de behandlingene av personopplysninger som utføres. Risikovurdering må være forankret i ledelsen og ha et definert nivå for akseptabelt risiko Sikkerhetsrevisjon Departementet plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i departementet. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Faktiske forhold Departementet har rutiner for sikkerhetsrevisjon, som er beskrevet i dokumentet «Policy for informasjonssikkerhet» Avvikshåndtering Det følger av forskriften 2-6 at departementet skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, andre ledd skal 9 av 12

10 medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i departementet. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Departementet har ikke dokumenterte rutiner for avvikshåndtering etter personopplysningsloven- og forskriften, men departementet har rutiner for dette innenfor når det gjelder gradert informasjon. Det kan ikke umiddelbart legges til grunn at de rutiner som er på plass for gradert informasjon er direkte overførbare til avvikshåndtering etter personopplysningsloven. At det ikke er utarbeidet og dokumentert rutiner for avviksbehandling etter personopplysningsloven er et avvik i henhold til forskriften 2-6. Departementet må etablere avviksrutiner som en del av internkontrollen Sikkerhetstiltak Lovens 13 jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, tredje ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Departementet har en sone-modell, som omfatter bl.a. egne soner for gradert informasjon og egne soner for sensitive opplysninger. Det er ikke mulig å hente ut informasjon fra sikker sone med klipp og lim eller ved filoverføring. Dette gjelder både til e-post og til eksterne lagringsmedier som f.eks. minnepenn. Det er åpnet for hjemmekontorløsning, denne løsningen er basert på terminalserver og to-faktor autentisering. Det er også åpnet for bruk av Exchange for e-post, kontakter og kalender på mobil. Alle departementets PCer har krypterte disker og det er kun program som er installert på PC sentralt som kan kjøres. Det er verken mulig eller anledning til å installere programmer selv på utstyr som tilhører departementet. Det er ikke innført «Follow me print». Brukerne kan velge å bruke kode og benytte samme prinsipp som «Folllow me», ved utskrift av sensitivt materiale. Det er innført en rutine for å fjerne harddisker ved utskifting av alle typer utstyr, også skrivere og kopimaskiner. 10 av 12

11 Mangelen på dokumentert risikovurdering gjør det vanskeligere å vurdere sikkerheten, men opplysninger gitt under kontrollen tilsier at løsningene har blitt vurdert underveis Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i departementet, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Departementet har gode rutiner for opplæring av alle nytilsatte og for øvrige personale. I henhold til «Sluttrapport for endringsprogrammet» er det utferdiget en rekke brosjyrer, utviklet kurs, gjennomført obligatorisk opplæring og informert via intranett. Det er noen svakheter som vi har påpekt i de dokumentene som er fremlagt og som en konsekvens av det vil føre til mangler ved opplæring og implementering. Men totalt sett når det gjelder opplæring velger vi ikke å konstatere avvik. 6.3 Databehandlere En databehandler er i lovens 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av departementet må det inngås en skriftlig databehandleravtale med departementet, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har i tillegg et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger slik det er avtalt med departementet. Departementet har egen databehandleravtale med Utlendingsdirektoratet. Utover dette benytter departementet de løsninger som tilbys gjennom departementssamarbeidet i DSS. De avtaler som finnes i regi av DSS ble ikke kontrollert i forbindelse med denne kontrollen. 11 av 12

12 12 av 12