Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune

Foranalyse 2014 Utarbeidet av Hedmark Revisjon IKS på oppdrag fra kontrollutvalget i Hedmark fylkeskommune Foranalyse - IKT-sikkerhet og drift i Hedmark fylkeskommune Postboks 84, 2341 Løten Telefon: 62 43 58 00 www.hedmark-revisjon.no E-post: post@hedmark-revisjon.no Org.nr: 974 644 576 MVA

Innhold 1 SAMMENDRAG 3 2 BESTILLING 3 2.1 FORMÅL MED FORANALYSE OPPBYGGING AV RAPPORTEN 4 3 IKT-SIKKERHETENS AKTUALITET, SENTRALE BEGREPER OG LOVVERK 5 3.1 AKTUALITET 5 3.2 HVA ER PERSONLIGE OPPLYSNINGER, PERSONVERN OG IKT-SIKKERHET? 6 3.3 LOV OG FORSKRIFT 7 3.4 KS DIGITALISERINGSSTRATEGI OG KOMMIT 9 4 IKT-SIKKERHET I HEDMARK FYLKESKOMMUNE 9 4.1 ORGANISERING AV IKT-OMRÅDET 9 4.2 REGLEMENTER OG RETNINGSLINJER I FYLKESKOMMUNEN 11 4.3 REGISTRE MED PERSONOPPLYSNINGER 12 5 MULIG EMNE: DRIFT AV IKT I FYLKESKOMMUNEN 17 6 REVISORS VURDERING OG ANBEFALING 20 6.1 IKT-SIKKERHET OG DRIFT VURDERING AV RISIKO OG VESENTLIGHET 20 6.2 ANBEFALING 22 6.3 GJENNOMFØRING OG TIMEFORBRUK 22 Forsidebilde: Image Hand On Keyboard courtesy of phanlop88 at FreeDigitalPhotos.net. 2

1 Sammendrag I denne foranalysen har vi sett på IKT-sikkerhet i Hedmark fylkeskommune samt på driften av IKT-løsninger i fylkeskommunen. Vi anbefaler en revisjon som vurderer om fylkeskommunen har en systematisk tilnærming til IKT-sikkerhet og drift. Det leder til at vi anbefaler to overordnede problemstillinger: 1. I hvilken grad har fylkeskommunen tilfredsstillende retningslinjer og rutiner for å sikre personopplysningers konfidensialitet, integritet og tilgjengelighet?, herunder: personopplysninger for fylkeskommunens ansatte som helhet elevenes personopplysninger på skolene 2. Har fylkeskommunen betryggende systemer for kontroll med drift og vedlikehold av IKT-tjenester? Med eventuell tilføyelse av følgende problemstilling: 3. Hvordan følges retningslinjer og rutiner opp i praksis? Vi har innhentet informasjon via: - Presentasjon ved møte i Kontrollutvalget 10. februar - Diverse regler og retningslinjer i fylkeskommunen - Diverse lover, regler og standarder for it-sikkerhet - Forvaltningsrevisjonsrapport «Styring av IKT-satsningen i Hedmark fylkeskommune» med tilhørende datainnsamling - Relevante samfunnsundersøkelser 2 Bestilling I henhold til kommuneloven 77 fjerde ledd skal kontrollutvalget påse at det blir gjennomført forvaltningsrevisjon i kommunen/fylkeskommunen. Høsten 2014 hadde kontrollutvalget gått gjennom de fleste temaene som ble trukket frem som aktuelle forvaltningsrevisjonsprosjekter i plan for forvaltningsrevisjon for perioden. På denne bakgrunn ble det utarbeidet en liste over relevante temaer for forvaltningsrevisjon i perioden /16. Kontrollutvalget valgte ut tre temaer fra listen som det ønsket å få belyst i en foranalyse hvilket ses av følgende vedtak 18. november 2014 i sak nr. 27/14: 3

Kontrollutvalget prioriterer følgende tema for forvaltningsrevisjon i perioden -2016: 1. Utleie av bygninger og idrettshaller i regi av fylkeskommunen (omfang, prissetting, habilitet) 2. IKT-sikkerhet 3. Hvordan jobber fylkeskommunen som næringsutviklingsaktør? Kontrollutvalget bestiller foranalyse fra Hedmark Revisjon IKS om de prioriterte temaene til de første møtene i, og kontrollutvalget ber sekretariatet sørge for orienteringer fra administrasjonen på temaene. Høsten 2014 ble forvaltningsrevisjonsprosjektet «Styring av IKT-satsningen i Hedmark fylkeskommune» levert til Kontrollutvalget. Prosjektet hadde en overordnet og generell synsvinkel, og har konsentrert seg om strategi, ledelse og kompetanse, samordning og standardisering av IKT-løsninger, tilgjengelighet og digitalisering, IKT i forhold til fylkeskommunens oppgaver innen utdanning (dvs. videregående opplæring) og helse (tannhelse), samt IKT-sikkerhet på overordnet nivå. Prosjektet omfattet ikke: Personvern, taushetsplikt og informasjonssikkerhet Sentral og lokal infrastruktur, fysisk sikring av data, tilgang til systemer og andre tekniske tiltak som skal bidra til IKT-sikkerhet. Videre har prosjektet ikke omfattet driftstiltak knyttet til IKT, eller implementering av IKT-systemer. Kontrollutvalget prioriterte i møtet 18. november 2014 at foranalysen skulle fokusere på den delen som ikke ble vurdert i førnevnte rapport, nemlig IKT-sikkerhet. 2.1 Formål med foranalyse oppbygging av rapporten Formålet med forundersøkelsen er å skaffe til veie informasjon slik at kontrollutvalget kan ta stilling til hvorvidt det er grunnlag for å gå videre på området, dvs. om det er grunnlag for å bestille en forvaltningsrevisjon innenfor IKT-sikkerhet. 1 Videre skal forundersøkelsen bidra til å gi kontrollutvalget grunnlag for å velge hvilket tema innenfor IKT-sikkerhet som anses mest 1 Datamaskin Norsk Datakunnskap Network skriver om definisjonen på IT og IKT: «IT og IKT brukes ofte om hverandre av de i databransjen, men disse begrepene er forskjellige i definisjonen. IT står for informasjonsteknologi og IKT står for Information Communication Technology. Dette er svært nært beslektet, men vilkårene betegne to forskjellige studieretninger eller industri. Mest enkelt sagt, faller IKT under IT paraply og refererer til bestemt område av IT som har å gjøre med kommunikasjon.» (http://www.datamaskin.biz/nettverk/other-computer-networking/77301.html#.vp2zwy3kztr) Vi benevner det her «IKT»-sikkerhet fordi dette er betegnelsen i Personopplysningsloven. 4

aktuelt å fokusere på. Endelig vil vi med forundersøkelsen søke å legge til rette for en effektiv gjennomføring av en eventuell forvaltningsrevisjon på området. I det følgende vil vi gi en generell redegjørelse for temaet IKT-sikkerhet og relevant regel- og lovverk. Deretter vil vi gi en redegjørelse for IKT-sikkerhet i Hedmark fylkeskommune. Endelig vil vi gi vår vurdering og anbefaling, herunder skissere alternative innfallsvinkler for et eventuelt forvaltningsrevisjonsprosjekt. 3 IKT-sikkerhetens aktualitet, sentrale begreper og lovverk 3.1 Aktualitet Fylkeskommunene råder som arbeidsgivere og virksomhetseiere over en stor mengde personopplysninger. I en digital tid kan disse opplysningene spre seg raskt og bli utsatt for misbruk. Datatilsynet kategoriserer misbruk av personopplysninger i to hovedgrupper, henholdsvis en utilsiktet handling (uhell eller uaktsomhet) eller tilsiktet handling fra en kriminell. 2 Uhell eller uaktsomhet betyr at beskyttelsesverdig informasjon kommer uvedkommende i hende. Det kan for eksempel skje ved at ansatte lekker informasjon, at bærbare datamaskiner kommer på avveie, ved uforsvarlig håndtering av sikkerhetskopier eller innbrudd. Helseopplysninger er et eksempel på sensitiv informasjon som gis under tillit og fortrolighet. Brudd på tillit kan medføre alvorlig tillitskrise. Enda verre er det når personopplysninger misbrukes til å fremme et illegitimt formål, slik som å skaffe seg tilgang til og kontroll over andres økonomiske midler, kredittinstrumenter eller eiendom. Dette innebærer at uvedkommende tar helt eller delvis kontroll på aktiver eller eiendeler tilhørende en annen person (ofte kalt identitetstyveri). Ved hjelp av personopplysninger kan man foreta uautoriserte endringer eller disposisjoner i en annens navn (eksempelvis ut fra et hevnmotiv). Personopplysninger kan også misbrukes til å skaffe seg ytterligere tilgang til informasjon om enkeltmenneskers bevegelse, kommunikasjon og økonomiske disposisjoner, mot vedkommendes vilje og ønske. I 2011 gjennomførte Statens institutt for forbruksforskning (Sifo) og TNS Gallup en undersøkelse av omfanget av identitetstyveri i Norge. 3 I undersøkelsen opplyser 3 % at de har opplevd at deres gode navn og rykte ble skadet ved misbruk av personens navn. 4 3,3 % har opplevd at det er blitt kjøpt varer eller tjenester i sitt navn slik at personen har fått regningen. 2 https://www.datatilsynet.no/sektor/id-tyveri/virksomheters-bruk-og-misbruk-av-personopplysninger/ 3 STATENS INSTITUTT FOR FORBRUKSFORSKNING 2011: Identitetstyveri. Omfang, tillit og beskyttelse mot risiko av Ragnhild Brusdal og Randi Lavik 4 Tallene i undersøkelsen er basert på svar fra 1.124 personer i alderen 18 80 år 5

6,8 % svarer at de har blitt rammet av identitetstyveri 1 eller 2 ganger. Hvis dette tallet er representativt for hele befolkningen, har denne typen forbrytelse rammet nær en kvart million nordmenn. Samtidig har Datatilsynet opplevd en økning i henvendelser om personvern i arbeidslivet. I 2013 håndterte Datatilsynets veiledningstjeneste 7 578 telefon- og e-posthenvendelser om personvern. Av disse var 22 prosent om overvåking i arbeidslivet, og tilsynet ser en fortsatt tendens til at denne typen henvendelser øker. Henvendelsene omhandler for eksempel GPSsporing og kameraovervåking, samt innsyn i og sletting av ansattes e-postkorrespondanse. Her blir det gitt som eksempel fordi det er påfallende mange arbeidsgivere som uten motforestillinger går gjennom e-postkorrespondansen til sine ansatte, også i sammenhenger der den ansatte har sluttet. 5 3.2 Hva er personlige opplysninger, personvern og IKT-sikkerhet? Personlige opplysninger Datatilsynet gjennomførte i 2013 og 2014 et tilsyn med bruk og lagring av personopplysninger i skoler og barnehager. 6 En erkjennelse og en noe overraskende oppdagelse for dem, var at betydningen av begrepet «personopplysning» var uklar for svært mange. I Personopplysningslovens 2 defineres personopplysninger som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Med andre ord er personopplysninger alle opplysninger som kan knyttes til enkeltpersoner. Sensitive personopplysninger defineres i samme paragraf som opplysninger om: a) rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. Både for personopplysninger og sensitive personopplysninger er det en rekke vilkår som må være tilstede før det er lov å dele og behandle dem. 7 Det er særlig skjerpede krav knyttet til sensitive opplysninger, men alminnelige personopplysninger skal også vernes om. Personvern Datatilsynet definerer personvern som retten til et privatliv og retten til å bestemme over egne personopplysninger. Alle mennesker har en ukrenkelig egenverdi og rett på en privat sfære som personen selv kontrollerer. Det skal være mulig å handle fritt uten tvang eller innblanding fra staten eller andre mennesker. 5 https://www.datatilsynet.no/nyheter/2014/en-av-fem-har-sporsmal-om-personvern-i-arbeidslivet/ 6 http://www.datatilsynet.no/global/04_planer_rapporter/skoleprosjektet_samlerapport.pdf 7 Personopplysningslovens 8 og 9 6

Personvernbegrepet refererer ikke bare til vernet av privatlivets fred og den enkeltes personlige integritet. I norsk forståelse innebærer begrepet i stor grad også vernet av individers rett til å ha innflytelse på bruk og spredning av personopplysninger om seg selv. Den enkelte skal i størst mulig grad kunne bestemme over egne personopplysninger. 8 IKT-sikkerhet Når man taler om IKT-sikkerhet dreier det seg om at virksomheten må håndtere risikoen for at personopplysninger og andre informasjonsverdier sikres på en tilfredsstillende måte. Internkontroll handler om at virksomheten skal etablere og vedlikeholde planlagte og systematiske tiltak for å sikre at de oppfyller lovens krav til behandling av personopplysninger. Gjennom å ha god informasjonssikkerhet og god internkontroll sikrer virksomheten at den behandler personopplysninger lovlig, sikkert og forsvarlig. 9 Konfidensialitet, integritet og tilgjengelighet Konfidensialitet er at uvedkommende ikke får tilgang til dataene. Integritet innebærer at ingen uautoriserte personer kan endre på opplysninger eller at informasjon utilsiktet blir endret. Med tilgjengelighet menes det at opplysningene må være tilgjengelige for personer som har behov for disse. 10 I fortsettelsen ser vi på lov og forskrift i forbindelse med personopplysninger. 3.3 Lov og forskrift Med digitalisering av offentlig sektor blir det i økt grad samlet inn, bearbeidet og analysert store mengder opplysninger. Opplysningene kan omhandle enkeltpersoner, forretningsprosesser, produktutvikling, strategier og metoder. Felles for alle opplysninger, er at det stilles varierende krav til behandling og beskyttelse. Opplysninger som kan knyttes til individet, skal behandles i samsvar med Personopplysningsloven og Personopplysningsforskriften. Reglene er fastsatt for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet. Personopplysningslovens 13 første og annet ledd om «Informasjonssikkerhet» lyder: «Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene...» 8 http://www.datatilsynet.no/personvern/hva-er-personvern/ 9 http://www.datatilsynet.no/sikkerhet-internkontroll/ 10 jf. Personopplysningsforskriften 2-11 til 2-13 7

Dette innholdet er utdypet i Personopplysningsforskriftens kapittel 2. I forskriftet fremgår det en rekke konkrete krav til informasjonssikkerhet for IT-systemer hvor det behandles personopplysninger. Det er krav til følgende områder ( 2, nr. 3-16): - Sikkerhetsledelse: Den som har den daglige ledelsen av virksomheten har ansvaret. - Risikovurdering: Det skal føres oversikt over hva slags personopplysninger som behandles. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. - Sikkerhetsrevisjon: Sikkerhetsrevisjon av bruk av informasjonssystemet skal gjennomføres jevnlig. - Avvik: Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. - Organisering: Det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. - Personell og taushetsplikt: Medarbeidere hos den behandlingsansvarlige skal bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. Medarbeidere hos den behandlingsansvarlige skal pålegges taushetsplikt for personopplysninger hvor konfidensialitet er nødvendig. - Fysisk sikring: Det skal treffes tiltak mot uautorisert adgang til utstyr som brukes for å behandle personopplysninger etter forskriften her. - Sikring av konfidensialitet, tilgjengelighet og integritet. - Sikkerhetstiltak: Sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. - Sikkerhet hos andre virksomheter: Den behandlingsansvarlige skal bare overføre personopplysninger elektronisk til den som tilfredsstiller kravene i personopplysningsforskriften. - Dokumentasjon: Rutiner for bruk av informasjonssystemet og annen informasjon med betydning for informasjonssikkerheten, skal dokumenteres. Personopplysningsloven stiller krav til internkontroll i form av etablering og vedlikehold av planlagte og systematiske tiltak for å oppfylle kravene i, eller i medhold av, Personopplysningsloven herunder å sikre personopplysningenes kvalitet. Datatilsynet skriver i sin veileder at det ikke forventer at øverste leder alltid har inngående kunnskap om informasjonssikkerhet. Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder ser etter at dette blir gjort. I praksis betyr det å sørge for at virksomheten har oversikt over hvilke plikter som gjelder, hvordan opplysninger behandles og sikres, at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte. 11 11 Jf. Personopplysningsforskriftens kapittel 3 om Internkontroll. 8

3.4 KS Digitaliseringsstrategi og KommIT Staten og Kommunenes sentralforbund (KS) er viktige premissgivere for kommunal sektor når det gjelder utviklingen på IKT området. Hedmark fylkeskommune er deltaker i KommIT (Program for IKT-utvikling i kommunesektoren) som ble etablert av KS våren 2012. Dette programmet eies av KS og styres av et programstyre bestående av kommuner, fylkeskommuner og KS. Formålet med KommIT er å bistå kommuner og fylkeskommuner slik at de kan nå målene i Digitaliseringsstrategi 2013 2016 for kommuner og fylkeskommuner (KS). Denne strategien fastsetter de viktigste satsningsområdene og målene for kommuner og fylkeskommuner i perioden. KS har i strategien følgende mål for IKT-sikkerhet - Kommuner og fylkeskommuner har strategi for informasjonssikkerhet - Kommuner og fylkeskommuner har databehandleravtaler med andre som behandler personopplysninger på vegne av kommunen - Kommuner og fylkeskommuner har databehandleravtaler med andre som kommunen behandler personopplysninger for - Kommuner og fylkeskommuner har ledelsesforankret internkontroll og styringssystem på plass. - Kommuner og fylkeskommuner har løsninger som tilfredsstiller kravene til sikkerhetsarkitektur - Kommuner og fylkeskommuner som tar i bruk skytjenester, har gjennomført grundige risiko- og sårbarhetsanalyser og inngått en databehandleravtale (s. 15). I forvaltningsrevisjonsprosjektet «Styring av IKT satsningen» ble det valgt å la være å benytte mål fra KS digitaliseringsstrategi som grunnlag for å utlede konkrete revisjonskriterier. Det ble begrunnet med at strategien nettopp var iverksatt. Hvis det bestilles et forvaltningsrevisjonsprosjekt om IKT-sikkerhet kan det vurderes om revisjonskriteriene skal utledes av Personopplysningsloven og Personopplysningsforskriften eller KS digitaliseringsstrategi eller begge deler. En forvaltningsrevisjon vil som regel ta utgangspunkt i den kilde som er mest autoritativ. I dette tilfellet er lovverk med forskrift mere autoritativ enn en KS strategi. Det synes å være overensstemmelse mellom lovverket og KS digitaliseringsstrategi, og grunnlaget for revisjonskriteriene kan således avvente beslutningen om det skal gjennomføres en forvaltningsrevisjon på området. Etter disse avklaringer ser vi nå på IKT-sikkerhet i Hedmark fylkeskommune. 4 IKT-sikkerhet i Hedmark fylkeskommune 4.1 Organisering av IKT-området Fylkeskommunen har egen IKT avdeling som har som oppgave å koordinere fylkeskommunens IT-satsning, og å drifte fylkeskommunens IT-løsninger. Avdelingen har i alt 11 faste stillinger + lærlinger. IKT drifter løsninger for fylkeshuset, de videregående skolene, de fylkeskommunale 9

tannklinikkene og regionskontorene. Øvrige kunder er Hedmark Trafikk FKF, Kjørekontoret Innlandet AS og Kunstbanken. IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, driftsproblemer, brukerspørsmål, endringsønsker, samt bestillinger. 12 Fylkeskommunens IT-løsninger benyttes av over 13000 brukere 13. I tillegg til de oppgavene som løses av de ansatte ved IKT avdelingen, er det også oppgaver som løses ved den enkelte enhet/virksomhet. Sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc er, skrivere og mobile enheter. Fylkeskommunen hadde våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skulle driftes, vedlikeholdes og utvikles. 14 På noen områder, og særlig innenfor videregående utdanning, er det etablert samarbeid med andre/konsulentbistand. Som eksempel kan nevnes at Hedmark fylkeskommune er medeier i Vigo IKS som ivaretar utvikling av noen av fylkeskommunens IT-systemer innen videregående opplæring. Fylkeskommunen er også medeier i NDLA som er et fylkeskommunalt innkjøpssamarbeid som har som formål å tilby kvalitetssikrede, fritt tilgjengelige, nettbaserte læremidler i alle fag i videregående skole. Ellers deltar fylkeskommunen i BUDDY samarbeidet som er et samarbeid mellom fylkeskommuner og kommuner om en løsning for identitetsforvaltning. Hedmark fylkeskommune samarbeider også tett med andre fylkeskommuner i Visma fylkesforum. Vi ser av organisasjonskartet under at IKT-avdelingen er en service-enhet som er underlagt fylkesdirektøren. I fylkeskommunen det i særlig grad bli håndtert personopplysninger og registre med personfølsomme opplysninger i Personal og organisasjon, Arkivet samt i IKTavdelingen. Dessuten finnes behandling av personopplysninger i følgende av fylkeskommunens virksomheter: Tannhelsetjenesten og de videregående skolene (se pilene). 12 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 13 https://www.hedmark.org/om-fylkeskommunen/fag-stab-og-serviceenheter/ikt 14 Fra Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune, utkast februar 10

Figur 1 Organisasjonskart Hedmark fylkeskommune 4.2 Reglementer og retningslinjer i fylkeskommunen Fylkeskommunens gjeldende IT strategi ble vedtatt av fylkesdirektøren i 2006 og var ment å skulle rulleres i 2008. Dette har foreløpig ikke skjedd. Det er imidlertid nedsatt en arbeidsgruppe som har utarbeidet forslag til ny IT strategi (juni 2013). Visjonen i gjeldende IT strategi er at Hedmark fylkeskommune skal ligge i forkant når det gjelder bruk av informasjonsteknologi administrativt og pedagogisk. Videre at fylkeskommunen skal ligge i forkant når det gjelder elektronisk samhandling med kommuner, innbyggere, næringsliv, folkevalgte og frivillige organisasjoner i Hedmark, samt andre samarbeidspartnere nasjonalt og internasjonalt. 10. februar presenterte fylkeskommunen utkast til «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune», 27. februar. I kapittel 8 står det mer om Informasjonssikkerhet og informasjonsteknologi. Her beskriver fylkeskommunen at KS-digitaliseringsstrategi er en av de føringer man forholder seg til. Av fylkeskommunale føringer har man: 11

- Reglement for bruk av Hedmark fylkeskommunes IT-løsninger, fastsatt av fylkesdirektøren 18.12.2013 - IT-reglement for elever i videregående skole i Hedmark fylkeskommune, fastsatt av fylkesdirektøren 3.7.2014. Disse reglementene er sentrale i forhold til en eventuell revisjon av emnet. I den forbindelse kan revisor se på om reglementene lever opp til lov og forskrifter, om de er kjent i de enkelte virksomhetene / enhetene, og om de i praksis bidrar til at personopplysninger håndteres på en god måte. 4.3 Registre med personopplysninger IKT-avdelingen i Hedmark fylkeskommune fortalte ved sin presentasjon i Kontrollutvalget 10. februar om de forskjellige registre som behandler og inneholder personopplysninger. I tråd med fylkeskommunens ansvar og oppgaver er det tre overordnede kategorier av personopplysninger: - Opplysninger om de ansatte - Opplysninger om elever i de videregående skoler - Pasientopplysninger i Tannhelsetjenesten Det er en håndfull av registrene som inneholder opplysninger både om ansatte og om elever. I det følgende beskrives de tre kategoriene. Ansatte i fylkeskommunen Det er litt over 2000 ansatte i Hedmark fylkeskommune. 15 For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, personnummer for å identifisere personen. Disse opplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom osv. Følgende registre behandler opplysninger om de ansatte: Visma HRM; lønn- og personalsystem samt rekruttering Wintid; tidregistrering (gjelder ikke alle ansatte) ESA (EDB sak/arkiv); personalmapper SATS; skoleadministrativt system (gjelder vgs) 15 SSB «Sysselsatte i kommunen i alt Enhet: Sysselsatte» for 2013 12

It s learning; læringsplattform (gjelder vgs) Novaschem; timeplanverktøy (gjelder vgs) Ansattoversikt på internett/intranett Trio; sentralbord/telefonistøtte Nødvendige tilgangsløsninger IT-reglementet gjelder for alt personell som har tilgang fylkeskommunens IT-løsninger og ITutstyr, og har følgende innhold: 1. Virkeområde 2. Grunnregler 3. Aktsomhet 4. Passord 5. Endringer på IT-utstyr og programvare 6. E-post 7. Dokument- og utskriftsikkerhet 8. Fratreden 9. Innsyn for arbeidsgiver i e-post-kasse mv. 10. Gjennomsøkning av lagringsområder 11. Utlevering til politi eller påtalemyndighet 12. Avhending av utstyr Elever på de videregående skolene Det lagres store mengder opplysninger om elever i de videregående skoler. Opplysninger om orden, oppførsel og karakterer er noen eksempler. Det finnes også verktøy som gjør det mulig å logge hvilke nettsteder elevene har besøkt i skoletiden eller som logger når og hvor lenge elevene jobber med spesifikke oppgaver. Dessuten lagres bilder, kommunikasjon mellom elever, kommunikasjon mellom lærer og elev, kommunikasjon mellom skole og hjem, informasjon om allergier, logg fra elevenes bruk av skolens nettverk. Læringsplattformer inneholder eksempelvis kommunikasjonsverktøy som chat, kommentarfelt/diskusjonsforum, e-post og meldingstjenester hvor private samtaler i noen tilfeller lagres. Videokonferansefunksjon hvor det er mulig å ta opp både lyd og bilde, er også ofte integrert. Ofte er det dessuten mulig for lærerne å sende SMS fra læringsplattformene til andre lærere, elever og foreldre. Dette er også personopplysninger. 16 Det er 14 videregående skoler i Hedmark fylkeskommune: Elverum videregående skole, Elverum Hamar katedralskole, Hamar 16 Fra Datatilsynets rapport 2014: Personvern i skole og barnehage 13

Jønsberg videregående skole, Stange Midt-Østerdal videregående skole, Koppang Nord-Østerdal videregående skole, Tynset Ringsaker videregående skole, Brumunddal Sentrum videregående skole, Kongsvinger Skarnes videregående skole, Skarnes Solør videregående skole, Flisa Stange videregående skole, Stange Storhamar videregående skole, Hamar Storsteigen videregående skole, Alvdal Trysil videregående skole, Trysil Øvrebyen videregående skole, Kongsvinger De fleste skoler bruker digitale læringsplattformer (LMS Learning Management System). Det åpner for kontinuerlig logging av elevens aktivitet, for eksempel når på døgnet eleven leverer oppgaver, hvor lang tid eleven bruker på oppgaveløsning, logg av kommunikasjon med lærer og andre elever, samt hvilke fag eleven har jobbet aktivt med i leksearbeidet. Mange skoler benytter seg også av andre digitale og nettbaserte læringsressurser, som i ulik grad registrerer elevenes aktiviteter. De skoleadministrative systemene registrerer blant annet fravær og karakterer, og noen skoler bruker digitale verktøy til å kartlegge og registrere uønsket atferd. Samlet utgjør dette et sett med opplysninger som gir et omfattende og detaljert bilde av barns utvikling og barnets faglige og sosiale atferd gjennom et helt utdannelsesløp. 17 Disse registrene behandler opplysninger om elevene: VIGO; inntakssystem 18 OTTO; system for oppfølgingstjenesten SATS; skoleadministrativt system Privatistweb; webbasert oppmelding til privatisteksamen SkoleArena; fraværs- og karaktersystem ESA (EDB sak/arkiv); personalmapper It s learning; læringsplattform 17 Fra Datatilsynets rapport 2014: Personvern i skole og barnehage 18 https://www.vigo.no/vigo/servlet/vigo 14

Novaschem; timeplanverktøy Visma utfakturering; kundereskontro Elev-PC register Nødvendige tilgangsløsninger Diverse pedagogiske verktøy NDLA 19 Lokus 20 Kikora 21 Geogebra 22 Etc Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene. 23 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. IKT-avdelingen fortalte på møtet i Hedmark fylkeskommunes kontrollutvalg 10. februar at det pågår et arbeide med å sikre personvern i de videregående skolene. Dette kan oppsummeres som følger: Hva er gjort? Brukeropplæring, rutiner for oppretting og sletting av brukertilganger. Rutiner for sletting av personopplysninger. Informasjon til elever og foresatte med avtale for signatur. Inngåelse av databehandleravtaler Hva arbeides det med? Kartlegging av datasystemer med personopplysninger på skolene. Utarbeidelse av mal og rutiner for risikovurdering av disse systemene og gjennomgang av databehandleravtaler. Bedre informasjon til ansatte. Hva gjenstår? Total oversikt over datasystemer med personopplysninger. Gjennomgående rutiner for: 19 http://ndla.no/ 20 http://www.lokus.no/ 21 http://www.kikora.no/ 22 http://www.geogebra.no/ 23 Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014 15

Risikovurdering av datasystemer med personopplysninger. Databehandleravtale. Oppretting og sletting av brukertilganger på datasystemer anskaffet av den enkelte skole. It-avdelingen fortalte at dagens situasjon ikke er tilfredsstillende med hensyn til de skoleadministrative systemene, og at det er et stort behov for fornyelse og modernisering. Skoleadministrative arbeidsoppgaver er blant annet preget av mye manuelt arbeid, informasjonssikkerheten kan forbedres med hensyn til behandlingen av elevdata, og kontroller som sikrer dataintegritet kan forbedres. VISMA FLYT skole (VFS) innføres i Hedmark skoleåret 2017/2018. VFS skal erstatte totalt 54 installasjoner av 9 ulike systemer og vil kunne realisere betydelige gevinster gjennom økt standardisering, bedre brukervennlighet, bedre datakvalitet og effektivitet, samt lavere administrasjonskostnader. Pasientene Av fylkeskommunens hjemmeside fremgår det at Tannhelsetjenesten har klinikker i 20 av fylkets kommuner. Engerdal og Rendalen betjenes av naboklinikk eller ved privatpraktiserende tannlege som har avtale med fylkeskommunen. To registre behandler opplysninger om pasienter OPUS; elektronisk pasientjournal Digora; digital røntgen I det tidligere gjennomførte forvaltningsrevisjonsprosjektet fikk vi opplyst at alle data fra tannklinikkene lagres på sentrale servere, og ikke ute på den enkelte tannklinikk. Dataene herfra omfatter i stor grad pasientopplysninger (sensitive opplysninger), og disse lagres innenfor såkalt sikker sone. Vi fikk videre opplyst at IKT avdelingen har vært ute og tatt bilder av og har oversikt over alt IKT - utstyr som finnes ute på de enkelte tannklinikkene. 24 Dessuten har vi fått opplyst at Tannhelsetjenesten: Følger norm for informasjonssikkerhet i helse- og omsorgstjenesten Revideres årlig internt i tjenesten. 25 Vi har nå gjennomgått sentralt lovverk på personvernområdet. Videre har vi redegjort for Hedmark fylkeskommunes oppgave- og ansvarsområder i forbindelse med personvern. Før vi vurderer hvilke temaer vi mener har høyest risiko og vesentlighet, og som dermed bør 24 Forvaltningsrevisjon 2014 «Styring av IKT-satsningen i Hedmark fylkeskommune», s. 35 25 Presentasjon 10. februar 16

omfattes av revisjonen, vil vi se på et annet tema som vi også vurderer som vesentlig for en revisjon på området. 5 Mulig emne: Drift av IKT i fylkeskommunen IKT-sikkerhet er et begrep som i lovmessig forstand dekker over vern om personopplysninger. Dette har vi nettopp beskrevet. I dagligdags tale har vi nok en bredere forståelse av begrepet IKT-sikkerhet, og det vil inkludere sikkerhet i forbindelse med fylkeskommunens IT-løsninger. Vi må sikre IT-løsningene slik at vi unngår systemsammenbrudd, herunder at vi sikrer oss mot katastrofer, og at vi sikrer forsvarlig tilgangsstyring til systemene og de potensielt fortrolige opplysningene som ligger der. Arbeidsplasser i dag er digitale. Alle elever får i dag utlevert computer og medarbeidere i fylkeskommunen arbeider digitalt. Driftssikkerhet er en vesentlig forutsetning for en effektiv arbeids- og skoledag. I forvaltningsrevisjonsrapporten «Styring av IKT satsningen» som ble utarbeidet i høsten 2014 ble det ikke skrevet om drift. Med bakgrunn i dette ser vi en relevans i at en revisjon også ser på dette området. Fylkeskommunens drift I dokumentet «Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune» (utkast) beskriver fylkeskommunen at sentral infrastruktur er IKT avdelingens ansvar. I sentral infrastruktur ligger sentralt serverrom, bredbåndslinjer, brannmurer og felles lisensavtaler. Lokal infrastruktur er den enkelte enhet/virksomhet sitt ansvar, og omfatter lokalt nettverk, pc er, skrivere og mobile enheter. Som vi var inne på i Kapittel 4.1 hadde fylkeskommunen våren 2013 i alt 10 konsernsystemer og 27 fagsystemer som skal driftes, vedlikeholdes og utvikles. IKT-enheten holder til i fylkeshuset og har 11 ansatte pluss lærlinger. Den daglige driften omfatter: - Ca 50 fysiske servere - Ca 150 virtuelle servere - Ca 70 brannmurer - Ca 95 switcher - Ca 700 trådløse aksesspunkter - Ca 500 PC-er og tynnklienter Dessuten beskrives det at IT-plattformen har følgende hovedelementer: - Sentral infrastruktur med sentralt serverrom, bredbåndslinjer, brannmur og lisensavtaler - Lokal infrastruktur med lokale nettverk, PC er, mobile enheter samt perifèrutstyr - Konsernsystemer; systemer som brukes på tvers i organisasjonen, uavhengig av fagområde. - Fagsystemer, eksempelvis skolesystemer og tannhelsesystemer. 17

IKT sin servicedesk yter 1. og 2. linje brukerstøtte til sentraladministrasjonen, regionkontorene og tannklinikkene, samt 2. linje brukerstøtte til de videregående skolene. Servicedesken er IKTs kontaktflate mot brukere og leverandører og behandler 6500 saker i året. Desken tar i mot og behandler feilmeldinger, drifts-problemer, brukerspørsmål, endringsønsker, samt bestillinger, jf. kapittel 4.1 Organisering av IKT-området. Servicedesken er til en hver tid bemannet med minimum to ansatte. Henvendelser rettes til 44300@hedmark.org. Relevant regelverk Hvordan man drifter IT-området er ikke hjemlet i et samlet lov- eller regelverk. Derfor må vi overveie hvilke anerkjente, internasjonale standarder det kan være relevant å bruke. ISACA er en non-profit organisasjon som er en verdensomspennende forening for IT-styring, sikkerhet, kontroll og revisjon av informasjonsteknologi. ISACA Norge har utgitt heftet Grunnleggende retningslinjer for god IT-skikk som er gir en oversikt over hva som oppfattes som god IT-skikk på utvalgte områder. COBIT er en forkortelse for Control Objectives for Information and related Technology som er utviklet av ISACA. Dette er et fullstendig, internasjonalt akseptert prosessrammeverk for bruk til kvalitetssikring og revisjon av IT-prosjekter. Ser vi under COBITs avsnitt Driftleveranse og støtte nevnes 13 punkter for å sikre driften; definere og styre servicenivået, styre tjenester fra eksterne it-leverandører, styring av ytelse og kapasitet, sikre kontinuerlig service/kriseplanlegging, sikre systemsikkerhet, identifisere og fordele kostnader, brukeropplæring, mottak for behandling av hendelser, håndtering av problemer og hendelser, håndtering av data, fysiske omgivelser, styring av driften. Det vil avhenge av en nærmere vurdering om en forvaltningsrevisjon skal se på alle punktene her eller velge ut aktuelle temaer. Disse kan eventuelt ta utgangspunkt i fylkeskommunens målsetninger for informasjonssikkerhet. Fylkeskommunens målsetninger Hedmark fylkeskommune er i skrivende stund i ferd med å utarbeide dokumentet Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune. I fylkeskommunens presentasjon i kontrollutvalget 10. februar fikk vi presentert utkastet til dette dokumentet. Kapittel 8 handler om Informasjonssikkerhet og informasjonsteknologi. Her skriver fylkeskommunen at hovedmålsettingen med bruk av informasjonsteknologi er å gjøre Hedmark fylkeskommune til en moderne og effektiv organisasjon og tjenesteprodusent. Fylkeskommunen skal være en attraktiv arbeidsgiver med gode, sikre og brukervennlige ITsystemer. Delmålene for å oppnå dette er: 18

1. Oppdatert sentral infrastruktur 2. Oppdaterte IT-systemer 3. Tilfredse brukere 4. Oppdatert og hensiktsmessig IT-plattform Oppfølging av delmål skjer som ledd i virksomhetsstyringen gjennom tertial- og årsrapporteringen. Sentrale parametere er: - Beskrivelse av status/tilstand og gjennomførte tiltak siste år på sentral IT-infrastruktur og bredbåndslinjer - Beskrivelse av status/tilstand på avdelingenes/enhetenes IT-utstyr i fylkeshuset årlig rapportering - Andel ansatte i fylkeshuset med kun 1 PC - Andel PCer i fylkeshuset med alder 0-4 år - Tilfredshet med servicedesk, målt gjennom årlig brukerundersøkelse - Antall større feilsituasjoner - Beskrivelse av digitaliseringsstatus i HFK og gjennomførte digitaliseringstiltak siste år med bistand fra IKT En forvaltningsrevisjon kan ta utgangspunkt i en vurdering av hvordan disse delmålene nås. Vi vil understreke at Internkontroll og kontinuerlig forbedring i Hedmark fylkeskommune ennå er i utkastform og revisjonen må avklare en endelig godkjennelse før den kan anvendes som kriteriegrunnlag i en revisjon. 19

6 Revisors vurdering og anbefaling 6.1 IKT-sikkerhet og drift vurdering av risiko og vesentlighet I denne foranalysen har vi fokusert oss inn mot to problemstillinger; IKT-sikkerhet og drift. IKT-sikkerhet Det er en generell samfunnstendens at mer informasjon lagres og deles. Hvor oppmerksomme er vi på å sikre personopplysninger? Hvor gode er rutinene rundt dette? Og hvor gode er fylkeskommunens ansatte til å praktisere disse rutinene slik at uvedkommende ikke får tilgang til opplysninger de ikke skal ha? Vi vurderer for det første at det er risiko og vesentlighet forbunnet med Hedmark fylkeskommunes generelle arbeidsgiveransvar. Det er litt over 2000 ansatte i Hedmark fylkeskommune. For å kunne utføre sin funksjon som arbeidsgiver har Hedmark fylkeskommune behov for en rekke opplysninger om den ansatte. Fylkeskommunen må bruke kontonummer for å utbetale lønn, adresse for å sende brev, og personnummer for å identifisere personen. Avanserte systemer om de ansatte kan dessuten inneholde alt fra CV og opplysninger om sertifikater, fravær, sykdom, opplysninger om bidragstrekk og påleggstrekk fra myndigheter osv. Det kan være krenkende hvis uvedkommende får adgang til disse informasjonene. Etter vår vurdering kan det derfor være sentralt for en forvaltningsrevisjon å se på rutiner og praksis for de medarbeidere som håndterer og har adgang til personal- og lønnområdet i fylkeskommunen, og på de enhetene og virksomhetene fylkeskommunen har ansvar for. Personopplysningene er sentrale i forhold til identitetstyveri som omtalt i innledningen. Samtidig handler det også om at forvaltningen må ha en ryddig og ordentlig måte å håndtere sine ansattes opplysninger på. Det handler om forvaltningens omdømme som kan være vanskelig å gjenreise hvis det først har vært et tillitsbrudd. Videre er det vår vurdering at det er vesentlig å sikre personvernsopplysninger i de videregående skoler. Det er fylkeskommunen som skoleeier som har ansvaret for å sikre personvern i skolene. 26 Fra et personvernperspektiv er det viktig at skoleeieren har en klar formening om hva personopplysninger er. Det er skoleeierens plikt å ha oversikt over personopplysningene. Skoleeieren skal vite hvorfor de enkelte opplysningene lagres, hvem som skal ha tilgang til dem, hvor lenge de skal lagres og så videre. Dette er en krevende oppgave i lys av at det er 14 ulike skoler som arbeider i mange ulike systemer. Det setter krav om gode rutiner, god informasjonssikkerhet og en gjennomtenkt holdning til hvordan personopplysninger skal behandles. 26 Datatilsynets artikkel: «Store utfordringer for personvernet i skole og barnehage», 2. juli 2014 20