Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Transkript

1 Saksnummer: 14/01055 Dato for kontroll: Rapportdato: Kontrollrapport Kontrollobjekt: Øksnes kommune Sted: Myre Utarbeidet av: Knut-Brede Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Øksnes kommune 9. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 42 tredje ledd, jf. 44. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollen ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak jf. 13. Alle henvisninger til lovhjemler i denne rapporten vil, med mindre annet eksplisitt oppgis, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: Just Hj. Johansen. rådmann Linda Rasmussen, enhetsleder lønn/personal Geir Rosvold, IT-ansvarlig Lill Sørensen, pedagogisk konsulent Berit Didriksen, enhetsleder hjemmetjenesten Alf Leinan, personvernombud 2.2 Fra Datatilsynet: Hallstein Husand, fagdirektør Knut B. Kaspersen, fagdirektør - 1 av 9

2 3 Generelt Øksnes kommune har ca innbyggere. Kommunen er en typisk fiskeri og fiskeindustrikommune og er Norges skreikommune nr 1. I tillegg til fiske har kommunen landbruk og en del kompetansekrevende industri som viktig næringsgrunnlag. 430 personer er ansatt i kommunen. Kommunen baserer seg på 2-nivå modellen. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 18. september 2014 om at kommunen oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, jf. forskriften 2-4, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. Andre relevante dokumenter ble utlevert på møtet, eller ettersendt. En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll og ivaretakelse av tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble kommunens internkontrollsystem, sikkerhetsarbeid og -tiltak gjennomgått på overordnet nivå. Tilsynet hadde fokus på den behandlingsansvarliges arbeid etterlevelse av gjeldende lover og forskrifter. 2 av 9

3 6 og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Kommunen har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne lov. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14, andre ledd skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvarlig defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som reglene i personopplysningsloven retter seg mot. Forskriften 2-3 (sikkerhetsledelse) understreker at den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver har ansvaret for å ivareta informasjonssikkerhet. Dette er nærmere omtalt i kapittel 6.2. Behandlingsansvaret som tilligger rådmannen er synliggjort i organisasjonen Ansvaret er synliggjort på en tilfredsstillende måte, men tilsynet ønsker å poengtere at dette også hør framkomme av internkontrollen, jf forskriften Ingen avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må 3 av 9

4 angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Kommunen hadde ikke utferdiget en oversikt over behandling av personopplysninger. Manglende oversikt over den enkelte behandling av personopplysninger er et avvik fra 14, og 13, jf. forskriften 2-4, første ledd Innsyn og informasjon Den behandlingsansvarlige plikter å gi innsyn i sin behandling, jf. 18, og informasjon om sin praksis, jf. 19 og Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn i personopplysninger om seg selv følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1 tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. Kommunen har ikke utferdiget rutiner for ivaretakelse av retten til innsyn etter 18 første og andre ledd. Manglende dokumenterte rutiner for ivaretakelse av 18 første og andre ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 tredje ledd bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og av 9

5 Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1 tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av 19 siste ledd og 23. Det er ikke utferdiget et dokumentasjon for ivaretakelse av den registrertes rettigheter etter 19 og 20. Manglede dokumenterte rutiner for ivaretakelse av 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1tredje ledd bokstav d) Opplysningskvalitet og sletting I henhold til 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Etter 27 skal personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle rettes. Virksomheten skal etter forskriften 3-1 tredje ledd bokstav c ha rutiner for å sikre at personopplysningenes kvalitet foretas i samsvar med bestemmelsene i loven. Det er ikke utarbeidet dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 27 og 28. Manglede dokumenterte rutiner for ivaretakelse av 27 og 28 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 tredje ledd bokstav c). 6.2 Krav om informasjonssikkerhet generelt I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 9

6 For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen Sikkerhetsledelse, sikkerhetsmål og sikkerhetsstrategi I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. forskriften 2-7. Øksnes kommunes sikkerhetsstrategi er dokumentert i Sikkerhetshåndbok for Øksnes kommune. Dette dokumentet beskriver Øksnes kommune sine sikkerhetsmål, sikkerhetsstrategi og også kommunens sikkerhetsledelse. Sikkerhetsmålene, sikkerhetsstrategien og sikkerhetsledelsen som er definert ansees tilstrekkelige ut fra kommunens behov og målsettinger Sikkerhetsorganisasjon I henhold til forskriften 2-7 skal det etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvar og roller for sikkerhetsledelse er tydelig og godt dokumentert i dokumentet Sikkerhetshåndbok for Øksnes kommune. Basert på tilgjengelig dokumentasjon og stedlig kontroll framstår det som om Øksnes kommune har arbeidet godt med å etablere en sikkerhetsorganisasjon. Det kan imidlertid framstå som om dette ikke er godt kjent i organisasjonen og heller ikke har hatt prioritet hos nåværende ledelse. Dette er likevel kun en betraktning fra Datatilsynets side. Sikkerhetsorganisasjon er etablert. 6 av 9

7 6.2.2 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Den behandlingsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Verken tilsendt materiale eller den stedlige kontrollen avdekket at det er gjennomført tilfredsstillende risikovurderinger. At Øksnes kommune ikke har gjennomført risikovurderinger, er et alvorlig avvik fra 2-4 i forskriften. Imidlertid må det legges til at kommunen har et tydelig og godt malverk med tilhørende rutiner for gjennomføring av risikovurderinger. Det som mangler er at kommunen benytter sine maler og gjennomfører de besluttede rutiner og gjør sine risikovurderinger og dokumenterer disse Sikkerhetsrevisjon Virksomheten plikter å å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig, jf. forskriften 2-5. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Øksnes kommune har en egen rutine for å gjennomføre jevnlige sikkerhetsrevisjoner og har dette som et tema i ledelsens gjennomgang hvert år. Datatilsynet vil påpeke at mangelen på dokumenterte risikovurderinger sannsynligvis må påvirke innhold og kvalitet i sikkerhetsrevisjonene, men dette er likevel ikke et avvik. Det finnes både rutine og dokumentasjon for dette. Ingen avvik konstatert 7 av 9

8 6.2.4 Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. forskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Øksnes kommune har et eget system og en egen løsning for avvikshåndtering som tilfredsstiller de krav som finnes i forskriften 2-6. Det registreres, behandles og lukkes mange avvik pr år i kommunen. Det synes som om kommunen har en god kultur for avviksmelding og behandling. Dagens system er en fullgod og er i tråd med 2-6 i forskriften Sikkerhetstiltak Den behandlingsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. 13, ref. forskriften 2-11, 2-12 og Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Øksnes kommune har en normal tilgangskontroll og benytter en termialservermodell Det er etablert en exchange løsning for e-post.. Det er ikke mulig å kopiere mellom åpen og sikker sone, dette gjelder ift alle typer medium. For de som har hjemmekontorløsninger nås kommunens servere gjennom VPN tunnel med «tofaktor» løsning. Øksnes kommune har en rutine for sletting av konti når ansatte slutter, imidlertid oppleves det at ikke alle enhetsleder følger rutinen godt nok og at konti derfor kan bli stående åpne i for lang tid etter at noen har sluttet. All kommunikasjon innenfor helsesektoren skjer på Norsk helsenett. Øksnes kommune har tilfredsstillende og god tilgangskontroll og gode rutiner for bruk av kommunens IT utstyr. Datatilsynet vil minne om plikten kommunen har til å påse at egne rutiner følges og konkret i dette tilfellet for oppfølging av sletterutiner når noen slutter i kommunen. 8 av 9

9 6.2.6 Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf forskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Øksnes kommune har et eget opplegg der ansatte skal lese og signere for at de har lest en egen sikkerhetsinstruks for ansatte. Det er den enkelte enhetsleder som er ansvarlig for at opplæring blir gitt. Datatilsynet vil minne om plikten kommunen har etter forskriften 2-8 til å utarbeide rutiner for opplæring av alle ansatte og alle nyansatte, på en systematisk og god måte. Dagens løsning gir ikke inntrykk av å være systematisk. 6.3 Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Øksnes kommune var usikre på om de fantes og i så fall med hvem man hadde tilfredsstillende databehandleravtaler. At kommunen ikke kunne gjøre rede for og dokumentere at man hadde tilfredsstillende databehandleravtaler er et avvik jf lovens av 9