Endelig kontrollrapport

Transkript

1 Saksnummer: 14/00491 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Kontoret for voldsoffererstatning Sted: Vardø Utarbeidet av: Knut-Brede Kaspersen Rannveig Bakke Tvedten Hallstein Husand 1 Innledning Datatilsynet gjennomførte kontroll hos Kontoret for voldsoffererstatning (KFV) den 27. mai Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Kontrollen ble gjennomført på virksomhetens besøksadresse i Vardø. Formålet med kontrollen var å vurdere om behandlingen av personopplysninger hos KFV tilfredsstiller de kravene som stilles i personopplysningsloven og personopplysningsforskriften, herunder virksomhetens plikt til å føre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet for sine behandlinger. Datatilsynet viser for ordens skyld til forrige kontroll ved KFV som fant sted 20. oktober Kontrollen endte med fem pålegg i vedtak av 28. januar 2010 (saksnummer 09/ ). KFV ble pålagt å utarbeide en oversikt over hvilke personopplysninger virksomheten behandler med behandlingsgrunnlag, utarbeide rutiner som sikrer konfidensialitet ved elektronisk kommunikasjon, etablere et informasjonssystem med akseptabel risiko for behandling av sensitive personopplysninger, etablere rutiner for avhending av elektroniske komponenter og etablere databehandleravtaler. Samtlige pålegg ble fulgt opp av KFV innen 1. september 2010 i tråd med fremdriftsplan skissert av KFV selv. Nåværende kontroll var ingen etterkontroll, men et frittstående nytt tilsyn. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlaget for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og personopplysningsforskriften. Andre henvisninger til lovhjemler er nevnt særskilt. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Hermann Westlie, Eltele AS - Terje Kofoed, seksjonssjef - Jørgen Randar, seksjonssjef - Anders Bækkemoen, rådgiver - Hege Wikestad, leder servicetorg 1 av 11

2 - Rita Bakken, seksjonssjef RKK - Kristine G. Olavson, verneombud - Marit Zahl Jonassen, direktør 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Hallstein Husand, seniorrådgiver - Rannveig Bakke Tvedten, rådgiver 3 Generelt om Kontoret for voldsoffererstatning Kontoret for voldsoffererstatning er et statlig forvaltningsorgan som er direkte underlagt Justis- og beredskapsdepartementet. Det ble etablert i Inntil da ble søknader om voldsoffererstatning behandlet av fylkesmennene. Kontoret har to hovedoppgaver: å behandle søknader om voldsoffererstatning fra personer som er påført personskade som følge av straffbar voldshandling og å yte gratis rådgivning og veiledning til personer som har blitt utsatt for voldskriminalitet. KFVs oppgaver følger av voldsoffererstatningsloven av Virksomheten har hovedkontor i Vardø og totalt 14 rådgivningskontorer spredt rundt i Norge. Det er totalt 66 årsverk i virksomheten, fordelt på 73 ansatte. Kontorets øverste leder er direktør Marit Zahl Jonassen. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 24. april 2014 om at virksomheten oversendte følgende dokumentasjon: oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, styrende dokumenter for internkontroll, jf. forskriften 3-1, blant annet rutiner for: o vurdering av personopplysningenes kvalitet, 27 og 28 o oppfyllelse av begjæringer om innsyn, 18 o oppfyllelse av begjæringer om informasjon, 19 og 20 oversikt over personopplysninger som behandles, jf. forskriften 2-4 oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, risikovurderinger av informasjonssystemet, jf. forskriften 2-4, avviksrutiner, jf. forskriften 2-6, navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. 2 av 11

3 I forkant av kontrollen fikk Datatilsynet tilsendt: Årsrapport for 2013 med organisasjonskart Databehandleravtaler med virksomhetens databehandlere Kravspesifikasjon til nytt fullelektronisk sakarkivsystem med leverandørens svar på kravene Oversikt over hvilke personopplysninger som behandles i virksomheten, samt tilhørende behandlingsgrunnlag Sikkerhetsstrategi for virksomheten Internkontroll ved datalagring Rutiner for behandling av dokumenter med personsensitivt innhold og skjerming/beskyttelse av datasystemene Rutiner for avhending av elektroniske komponenter med internminne Systemkart for telefon og e-post infrastruktur Håndbok for nyansatte Sjekkliste for teamlederne ved nyansettelser 5 Nærmere om kontrollen En detaljert agenda for kontrollen ble oversendt til KFV før kontrollen. Kontrollen ble gjennomført i fem hovedpunkter: 1. Oppstart med gjennomgang av formaliteter 2. Presentasjon av virksomheten 3. Gjennomgang av internkontrollsystemet (forskriften kap 3) 4. Gjennomgang av informasjonssikkerheten i virksomheten (forskriften kap 2) 5. Oppsummering og avslutning Virksomhetens internkontrollsystem og sikkerhetsdokumentasjon ble gjennomgått på et overordnet nivå. 6 Funn ved gjennomgang av internkontrollsystemet og informasjonssikkerheten 6.1 Datatilsynets overordnede inntrykk av KFVs internkontroll : KFV har etter 14 plikt til å etablere internkontroll. Internkontrollen er et styringsverktøy som skal sette virksomheten i stand til å overholde personopplysningsloven i den daglige driften. Den skal være systematisk og konkret med tanke på rutiner som skal følges. I henhold til 14 skal internkontrollen dokumenteres, det vil si være skriftlig. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 3 av 11

4 Det er vanlig å inndele en internkontroll i tre deler: en styrende, en gjennomførende og en kontrollerende del. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette vil bli gjennomgått under punkt 6.5. : Kontoret for voldsoffererstatning har innarbeidet hoveddelen av sitt internkontrollsystem i arkivplanen. Datatilsynet fikk overlevert hele arkivplanen under tilsynet. Her er en rekke internkontrolldokumenter inntatt som vedlegg punkt Følgende dokumenter ligger som vedlegg til arkivplanen: - en oversikt over virksomhetens behandlinger, - sikkerhetsmål, - sikkerhetsstrategi, - internkontroll, - rutiner for behandling av dokumenter med personsensitivt innhold, - rutiner for sikring av konfidensialitet ved elektronisk kommunikasjon, - rutiner for avhending av elektriske komponenter med internminne og - rutiner for dokumentsikkerhet. Datatilsynets vurdering er at internkontrollen dekker mange av kravene i personopplysingsloven. Men den bærer preg av at den nok ikke har blitt utarbeidet med tanke på en systematisk oppfylling av lovens og forskriftens krav. Det er derfor enkelte mangler ved den, for eksempel rutiner for å oppfylle den behandlingsansvarliges plikter overfor den enkelte borger og den registrerte (informasjonsplikt, innsyn, rutiner for retting/sletting). Det er heller ikke gjort noen vurdering av meldeplikt og konsesjonsplikt. : KFV har etablert et internkontrollsystem i tråd med 14. Det konstateres derfor ikke avvik. Datatilsynet vil likevel påpeke at internkontrollen skal sikre at samtlige av personvernlovgivningens krav blir oppfylt. Dette er ikke tilfellet hos KFV, noe vi kommer tilbake til i punktene nedenfor. Internkontrollen må derfor gjennomgås slik at den på en systematisk måte blir et praktisk verktøy for å oppnå sitt formå. Dette kan gjerne gjøres i en styrende, gjennomførende og kontrollerende del. 6.2 Hvem som er behandlingsansvarlig : Behandlingsansvarlig defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er ansvarlig for at personopplysningslovens følges. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse, understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en 4 av 11

5 sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Forskriften 2-7 understreker at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. : KFV har plassert arkivansvaret hos direktøren, virksomhetens øverste leder. Dette fremkommer av arkivplanen punkt 2.2. Virksomheten har som sagt innarbeidet internkontrollen i arkivplanen. Datatilsynet vurderer på bakgrunn av dette at behandlingsansvaret og det daglige ansvaret er tydelig plassert. : Det foreligger en tydelig plassering av behandlingsansvaret, jf. 2 nr 4 og forskriften 2-3 og Oversikt over KFVs behandlinger og behandlingsgrunnlag : For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke personopplysninger den behandler. Dette er en nødvendig del av virksomhetenes internkontroll etter 14. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4 første ledd første punktum. Oversikten over behandlinger må blant annet omfatte behandlingsgrunnlag ( 8 og 9) for den enkelte behandling, samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. : KFV har utferdiget en oversikt over personopplysninger som behandles hos KFV. Oversikten viser til relevante behandlingsgrunnlag. Dette er i samsvar med pålegg som ble gitt ved tilsynet i Pålegget har med dette blitt oppfylt. : Kravet til en oversikt over personopplysninger som behandles ved KFV med tilhørende behandlingsgrunnlag er oppfylt, jf. forskriften 2-4. Hva som er formålet med behandlingen, fremgår av både arkivplanen og voldsoffererstatningsloven. 5 av 11

6 6.4 Øvrige plikter etter 14 jf. forskriften Innledning Behandlingsansvarlig må i henhold til 14 ha rutiner for oppfyllelse av sine plikter og de registrertes rettigheter etter det til enhver tid gjeldende personvernregelverket. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt vurdering av personopplysningenes kvalitet etter 27 og 28. Oversikten over plikter inngår i den styrende delen av internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende delen av internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn : Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger den behandlingsansvarlige foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : KFV har ikke utferdiget dokumenterte rutiner for innsynsretten etter 18, 1. ledd (enhvers krav på innsyn). Vi kan heller ikke finne rutiner for å sikre innsynsretten som den registrerte har etter 18, 2. ledd. Under tilsynet viste KFV til at rutiner for innsyn står i håndboken til nyansatte. Etter det vi kan se gjelder disse rutinene begjæringer om utlån av dokumenter. Dette er noe annet enn rutiner for innsyn etter personopplysningsloven, som omhandler retten til innsyn i personopplysninger og ikke dokumenter. : Manglede dokumenterte rutiner for ivaretakelse av 18, 1. og 2. ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) Informasjonsplikt : Det følger av 19, 1.ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og 6 av 11

7 e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. : KFV skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20 andre og tredje ledd og 23. KFV har ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes krav på informasjon etter 19 og 20, men omfattende informasjon gis til den registrerte på søknadsskjema for voldsoffererstatning. Informasjonen dekker så vidt vi kan se plikten til å gi informasjon om hvordan personopplysningene behandles, jf. 19 og 20. : KFVs informasjonsplikt er ivaretatt gjennom søknadsskjema om voldsoffererstatning. Bestemmelsene i 19 og 20 er derfor oppfylt, jf. forskriften 3-1 bokstav d) Retting og sletting : I henhold til 11 bokstav e), jf. 27 og 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. Virksomheten er pliktig å ha rutiner for ivareta personopplysningenes kvalitet, jf. 28. Se forskriften 3-1, 3. ledd bokstav c). : KFV har ikke utferdiget rutiner for ivaretakelse av personopplysningenes kvalitet i forhold til det definerte formålet med behandling av personopplysningene. KFV har heller ikke utarbeidet rutiner for hvor lenge personopplysninger skal oppbevares før de må slettes, jf. 28. : Manglede rutiner for ivaretakelse av 27 og 28 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav c) Melding/konsesjon : I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune når behandlingen har hjemmel i egen lov. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om 7 av 11

8 meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. er: KFV har ikke utferdiget rutiner for oppfyllelse av personopplysningslovens regler om meldeog konsesjonsplikt etter Det ligger til rette for at denne vurderingen skal gjøres i oversikten over hvilke personopplysninger som behandles, men feltene er ikke fylt ut. For tiden er det heller ingen meldinger fra KFV i meldingsdatabasen. : Manglende oversikt/rutiner for oppfyllelse av personopplysningslovens regler om melde- og konsesjonsplikt etter 31 33, er et avvik fra 14, jf forskriften 3-1, 3. ledd bokstav f). 6.5 Krav om informasjonssikkerhet Generelt om informasjonssikkerhet I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Forskriften 2-7 stiller krav om at det skal etableres klare ansvars- og myndighetsforhold (sikkerhetsorganisasjon). Sikkerhetsmål og sikkerhetsstrategi KFV har dokumentert sine sikkerhetsmål og sin sikkerhetsstrategi i dokumentene «Sikkerhetsstrategi» og «Sikkerhetsmål». Ingen avvik konstatert. 8 av 11

9 Sikkerhetsorganisasjon KFV har dokumentert sikkerhetsorganisering i dokumentene «Sikkerhetsstrategi» og «Sikkerhetsmål». Ingen avvik konstatert Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. KFV har ikke fremlagt noen dokumentasjon for risikovurdering. Den stedlige kontrollen ga et inntrykk av at flere av systemene har blitt risikovurdert i en hvis grad, men det er ikke dokumentert. Manglende risikovurderinger er et avvik fra loven 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjoner jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Faktiske forhold KFV har ikke fremlagt noen dokumentasjon på sikkerhetsrevisjoner. At det ikke er gjennomført sikkerhetsrevisjoner er et avvik fra 13 jf. forskriften av 11

10 6.5.4 Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. KFV informerte om at de hadde rutiner for håndtering av avvik. KFV sin redegjørelse lagt til grunn er det ikke konstatert noen avvik, men Datatilsynet vil minne KFV om plikten til å ha hensiktsmessig skjema, formular eller system for ansatte å kunne rapportere avvik gjennom Sikkerhetstiltak Forskriften 2-11, 2-12 og 2-13 stiller om at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. KFV har en tosone-modell med saksbehandling i sikker sone. Hjemmekontor kjøres via VPNtunell med to-faktor autentisering og terminal server. Det er ikke mulig å hente ut informasjon fra sikker sone til minnepinner, eller å kopiere til e-post. KFV har også en forsvarlig håndtering av utskrifter og håndtering av disker og backup. Ingen avvik konstatert Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. 10 av 11

11 KFV har dokumenterte rutiner for opplæring av alle nyansatte, denne opplæringen er obligatorisk. Det er også egne sjekklister som skal gjennomgås ifm endringer i arbeidsforhold, tiltredelse og fratredelse. Ingen avvik konstatert. 6.6 Databehandlere En databehandler er i 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av KFV må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler kan bare behandle opplysninger slik som det er avtalt med den behandlingsansvarlige. KFV har dokumentert oversikt over sine databehandlere og sine databehandleravtaler. Ingen avvik konstatert. 11 av 11