Kripos - Internasjonal seksjon Postboks 8136 Dep 0034 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2010/00638 10/00525-10/HVE 18. mai 2012 Dato Vedtak om pålegg - Endelig kontrollrapport for Kripos - SIS Det vises til gjennomført kontroll med den nasjonale delen av Schengen informasjonssystem (SIS), Datatilsynets varsel om vedtak og foreløpig kontrollrapport av 27. juni 2011, og Deres tilsvar av 15. september 2011. Datatilsynet gjennomførte kontroll med den nasjonale delen av Schengen informasjonssystem. Kontrollen ble gjennomført som et stedlig tilsyn ved Østfold politidistrikt på Rygge lufthavn den 17. juni 2010, og ved Sirenekontoret i KRIPOS den 25. juni 2010. Kontrollen skjedde med hjemmel i lov om Schengen informasjonssystem (SISevaluering av Norge. Det forefinnes en rapport av evalueringen, og Politidirektoratet koordinerer den nasjonale oppfølgingen. Foreløpig rapport i denne sak og Kripos tilsvar ble fremlagt under evalueringen. For øvrig behandles denne sak uavhengig av evalueringen. loven) 22 jf 21. Den 4. til 5. oktober 2011 ble det gjennomført en Schengen-evaluering Vurdering av tilsvar Merknader til foreløpig kontrollrapport Tilbakemelding på foreløpig kontrollrapport er i det vesentlige tatt inn i endelig kontrollrapport. Åpenbare korrigeringer gjort uten nærmere merknad, øvrige merknader er tatt inn som fotnoter eller kombinasjon av korreksjon og fotnote. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
Vurdering av tidligere varslede pålegg Datatilsynet varslet i brev av 27. juni at tilsynet ville fatte vedtak om følgende pålegg: 1. Kripos må avklare sitt ansvar som følger av SIS-loven i samsvar med krav om internkontroll etter SIS-loven 4. Se rapportens 5.2 2. Kripos må etablere planlagt og systematisk oppfølging av om regelverket og fastsatte rutiner følges for SIS. Dette følger av krav om internkontroll etter SISloven 4. Se rapportens 5.2 3. Kripos må gjennom planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet i samsvar med SIS-loven 3, jf. SIS-forskriften 7-3 og 7-4. Se rapportens 5.3 4. Kripos må etablere logging av oppslag i SIS i samsvar med SIS-loven 3, jf. SISforskriften 7-8. Pålegget omfatter at logging etableres også for andre fagapplikasjoner enn ELYS II, og at også gjennomføring av søk hvor personopplysninger fremkommer logges. Se rapportens 5.4 5. Kripos må etablere løsning for tilgang til logger slik at disse funksjonelt kan benyttes i sikkerhetsarbeidet i samsvar med SIS-loven 3, jf SIS-forskriften 7-14. Se rapportens 5.4 6. Kripos må etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Pålegget omfatter at det må etableres kontroll med hvilke applikasjoner som kan benyttes for tilgang til SIS. Se rapportens 5.6 7. Kripos må etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Pålegget omfatter at det må etableres kontroll med hvordan registertilgang for UDIs fagapplikasjon er løst, og hvordan sikkerhetsmekanismer er implementert. Se rapportens 5.6 Vurdering av svar - varslet pålegg 1 Det gjøres i tilbakemeldingen rede for at ansvarsforhold innen Politiet er avklart, og at forholdet mellom Kripos og UDI per 15. september er under avklaring. Plan for signering av avtale mellom Kripos og UDI, som blant annet klargjør ansvarsforhold, var stipulert til 15. november 2011. Datatilsynet tar redegjørelsen til etterretning, og legger til grunn at avviket er lukket. Det fattes ikke vedtak i samsvar med varsel. 2
Vurdering av svar - varslet pålegg 2 Kripos gir en utfyllede redegjørelse for status i arbeidet med internkontroll i Kripos. Datatilsynet slutter seg til Kripos sin konklusjon om at det langt på vei er etablert internkontroll knyttet til SIS, samt at videreutvikling bør følge prosessene ved innføringen av politiregisterloven. Tilsynet legger til grunn at Kripos har tilfredsstillende fremdrift på resterende punkter, og det fremstår ikke som hensiktsmessig å fatte vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere internkontroll i samsvar med SIS-loven 4. Vurdering av svar - varslet pålegg 3 Tilsvarende som for varslet pålegg 2. Det fattes ikke vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere planlagte og systematiske tiltak for å sørge for tilfredsstillende informasjonssikkerhet i samsvar med SIS-loven 3, jf. SIS-forskriften 7-3 og 7-4. Vurdering av svar - varslet pålegg 4 Kripos gjør rede for at loggingen i SIS anses for å være innenfor regelverkets krav. Datatilsynet slutter seg ikke til dette. Logger hvor det ikke kan knyttes informasjon til hvilket personell som har gjennomført søk eller oppslag tilfredsstiller etter Datatilsynets vurdering ikke regelverkets krav til logger. Det fattes vedtak i samsvar med varslet. Se pålegg 1 nedenfor. Vurdering av svar - varslet pålegg 5 Kripos gjør rede for en praksis hvor logger kun benyttes ved konkret mistanke om ureglementert bruk. Dette innebærer at loggene kun benyttes for å bekrefte eller avkrefte en mistanke om ureglementert bruk av informasjonssystemet, og ikke til å avdekke slik ureglementert bruk. Praksisen må ses i sammenheng med at svært mange er gitt tilgang til SIS, og at tilgangsstyringen følgelig ikke er et reelt hinder for uautoriserte oppslag. Datatilsynet ba om innsyn i logg over siste 100 oppslag fra Kripos, noe som ikke kunne presenteres da et slikt uttrekk måtte klargjøres i en særskilt prosess. Loggene fremstod under kontrollen som utilgjengelige. Dette kan også knyttes mot Kripos sitt valgte utgangspunkt om at logger kun benyttes ved konkret mistanke om uautorisert bruk. Datatilsynet fastholder at Kripos ikke har sørget for logger som kan benyttes i det daglige sikkerhetsarbeidet slik at det er blir mulig å avdekke uautorisert og forsøk på uautorisert bruk, jf. SIS-forskriftens 7-14. 3
Det fattes vedtak i samsvar med varslet. Se pålegg 2 nedenfor. Vurdering av svar - varslet pålegg 6 Kripos har gjort rede for at konfigurasjonskontroll er etablert. Datatilsynet legger redegjørelsen til grunn, og det fattes ikke vedtak i samsvar med varsel. Vurdering av svar - varslet pålegg 7 Kripos har gjort rede for tiltak for å etablere konfigurasjonskontroll for registertilgang for UDIs fagapplikasjon. Datatilsynet legger til grunn at forholdet mellom UDI og Kripos er regulert i avtale som skissert. Det fattes ikke vedtak i samsvar med varsel. Datatilsynet peker imidlertid på Kripos sin selvstendige plikt til å etablere konfigurasjonskontroll over SIS i samsvar med SIS-loven 3, jf SIS-forskriften 7-7. Spesielt om tilgangsstyring Påpekning av plikt Det vises til kontrollrapportens 5.5 om tilgang til opplysninger i SIS, og Kripos sitt tilsvar side 12. Kontrollrapporten er endret på bakgrunn av tilbakemeldingen ved at 5.3.3 er mindre konkluderende om manglende samsvar mellom praksis for tildeling av tilgang og regelverkets krav om at tilgang begrenses til den som er særskilt bemyndiget. Datatilsynet har i rapporten anført at praksis er at enhver som driver politirelatert arbeid gis tilgang til SIS. Dette er beholdt når rapporten er gjort endelig. I tilbakemeldingen gjøres det rede for at politirelatert arbeid ikke er et kriterium for å tildele tilgang, og at tilgang tildeles basert på tjenestelig behov. Datatilsynet bemerker at politirelatert arbeid var en faktumbeskrivelse av hvem som faktisk ble tildelt tilgang i SIS. Følgelig basert på kriterier for tildelig av tilgang. Datatilsynet finner grunnlag for å spørre om denne praksisen samsvarer med regelverkets krav om at tilgang begrenses til den som er særskilt bemyndiget. Det konstateres imidlertid ikke avvik. Det er imidlertid klart at det ligger en støtte for vide tilganger i forarbeidene (Ot.prp.nr.56 (98-99), pkt. 6.7.1)). Dette fremgår av endelig kontrollrapport. Datatilsynet peker på Kripos sin selvstendige plikt til å sørge for at tildeling av tilganger til SIS er i samsvar med SIS-forskriften 1-6. 4
Vedtak om pålegg Med hjemmel i SIS-loven 23 gir Datatilsynet følgende pålegg: 1. Kripos må etablere logging av oppslag i SIS i samsvar med SIS-loven 3, jf. SISforskriften 7-8. Pålegget omfatter at logging etableres også for andre fagapplikasjoner enn ELYS II, og at også gjennomføring av søk hvor personopplysninger fremkommer logges. Se rapportens 5.4 2. Kripos må etablere løsning for tilgang til logger slik at disse funksjonelt kan benyttes i sikkerhetsarbeidet i samsvar med SIS-loven 3, jf SIS-forskriften 7-14. Se rapportens 5.4 Datatilsynet gir frist for gjennomføring av påleggene til 1. november 2012. Dere må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom vedtaket ikke kan gjennomføres innen fristen, bes det om at Datatilsynet kontaktes for dialog om fremdriften. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Cecilie L. B. Rønnevik seniorrådgiver Vedlegg: Endelig kontrollrapport 5