Endelig kontrollrapport



Like dokumenter
Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Endelig kontrollrapport

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Foreløpig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Endelig kontrollrapport

Kommunens Internkontroll

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Foreløpig kontrollrapport

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Foreløpig kontrollrapport

Foreløpig kontrollrapport

VIRKE. 12. mars 2015

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Retningslinjer for databehandleravtaler

Kan du legge personopplysninger i skyen?

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Bilag 14 Databehandleravtale

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Databehandleravtaler

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Databehandleravtale for NLF-medlemmer

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Endelig kontrollrapport

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

«GDPR i Bodø kommune» 22. januar 2019 Silje Valberg

Lydopptak og personopplysningsloven

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Personopplysninger og opplæring i kriminalomsorgen

Transkript:

Saksnummer: 14/01433 Dato for kontroll: 26.01.2015 Foreløpig rapport: 02.02.2015 Endelig rapport: 08.04.2015 Endelig kontrollrapport Kontrollobjekt: Hurtigruten ASA Sted: Tromsø Utarbeidet av: Martha Eike Knut B. Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Hurtigruten ASA den 26. januar 2015. Kontrollen ble utført med hjemmel i 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om reisearrangørens behandling av personopplysninger om sine kunder er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å se på reisearrangørens plikt til å ha internkontroll. Vi la vekt på plikten til å sørge for god nok sikring av opplysningene (informasjonssikkerhet) og om reisearrangøren hadde rutiner for hvordan personopplysningene behandles. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Steingrim Melbø, QA/HSE Director - Hilde Jordan, HR Manager - Hans Jørgen Eliassen, ICT Director - Thomas Westergaard, Konserndirektør - Chris Hudson, Hotel & drift direktør 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Martha Eike, senioringeniør 1 av 11

3 Oversendelse av informasjon Datatilsynet ba i varselet om at virksomheten skulle oversende følgende dokumentasjon: Oversikt over virksomhetens organisering, for eksempel organisasjonskart Rutiner for når det må innhentes samtykke fra kunder for behandling av personopplysninger. Rutiner for informasjon til kunder om hvilke opplysninger som lagres i deres IKTsystem. Rutiner for innsyn i opplysninger som er lagret i deres IKT-system og ved bruk av deres nettsider. Rutiner for når personopplysninger skal slettes. Risikovurderinger av IKT-system og nettsider. Rutiner for informasjonssikkerhet: a) Oversikt over informasjonssystemets utforming, for eksempel et systemkart b) Beskrivelse av tilgangsstyring til de ulike IKT-systemene c) Sikkerhetsrutiner d) Driftsrutiner Databehandleravtale med leverandører av IKT-system. Følgende dokumenter ble sendt Datatilsynet 18. og 26. januar 2015: CV Alan Goodhall HRG Data Security ICE ICT Hurtigruten Intern revisjon instruks Hurtigruten All Systems - Logic View ICE Data Protection document and ISO controls IKT reglement Rutiner for behandlinger av personopplysninger i HR Taushetserklæring IKT leverandør Terms & Conditions brosjyrer - personvern NO og UK E-poster med terms and conditions, screen shots fra Fidelio, intern korrespondanse om rutiner B2B Agency Data B2B Company Data B2C Booking B2C Data En detaljert agenda ble oversendt virksomheten på e-post før kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 11

Under kontrollen ble virksomhetens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om virksomheten hadde kontroll på følgende: Hvilke opplysninger registreres i forbindelse med bestilling av reiser, og ved bruk av reisearrangørens nettsider og IKT-system (jf. 14 og forskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av IKT-system, jf. 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. forskriften 2-3 Risikovurdering, jf. forskriften 2-4 annet ledd 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll 5.1.1 Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 5.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Virksomheten opplyste på det arbeides med ny konsernstruktur, som skal være ferdig i 2015. Det var ikke tydeliggjort i oversendt dokumentasjon hvor behandlingsansvaret lå. Imidlertid er det i personvernerklæringen (på nett) opplyst at det daglige ansvaret for behandling av personopplysninger ligger hos den daglige leder i Hurtigruten. Det konstateres ikke noe avvik, men ansvaret bør tydeliggjøres når den nye konsernstrukturen er på plass. 3 av 11

5.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Virksomheten hadde ingen dokumentert oversikt over hvilke personopplysninger som ble behandlet. For kundene framgår dette i CRS- basen, og for de ansatte i personalarkivet. I personvernerklæringen redegjør virksomheten nærmere for bruk av internett, IP-adresser, cookies og abonnement på nyhetsbrev. Dette er behandlinger i personopplysningslovens forstand. Det ble opplyst at virksomheten ikke fører svartelister på «vanskelige» kunder. Opplysningene er ikke systematisert på en måte som er nødvendig for å oppfylle lovens krav. Vi viser her til Datatilsynets «En veiledning om internkontroll og informasjonssikkerhet» for videre informasjon. Se særlig side 13 hvor det er vist et eksempel i matriseform. I oversikten må det også framkomme at det behandles opplysninger fra nettbaserte tjenester, adgangskontrollen og fra kameraovervåking. Det er et avvik etter 13, jf. forskriften 2-4 at det ikke er laget noen oversikt over hvilke personopplysninger som behandles i virksomheten. 5.1.4 Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den 4 av 11

gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis. 5.1.4.1 Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : I virksomhetens personvernerklæring på nett er det gitt en veiledning om hvordan kunden skal gå fram for å få innsyn i opplysninger opp seg selv. Denne er tilfredsstillende; men det bør også lages en tilsvarende veiledning for innsyn i personalarkivet. Virksomheten har ikke laget noen dokumentert rutine for ivaretakelse av borgerens krav på innsyn etter 18 første ledd. De dokumenterte rutinene for innsyn er mangelfulle. Det er bare laget en rutine i forhold til kundens bestillinger. Dette er ikke tilfredsstillende. Det vises til det som er nevnt under pkt. 5.1.3. Manglende dokumenterte rutiner for ivaretakelse av 18, første og annet ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 første ledd bokstav d). 5.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. 5 av 11

Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av 19 siste ledd og 23. I personvernerklæringen opplyses det om hva personopplysningene vil bli brukt til og formålet med innsamlingen. Det finnes ingen dokumenterte rutiner for informasjon i forhold til ansatte. Informasjonen til kunden er tilfredsstillende, men bør oppjusteres med opplysninger om bl.a. sletterutiner. Det samme gjelder dokumenterte rutiner i forhold til ansatte. Manglende dokumenterte rutiner for ivaretakelse av 19 og 20 er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 første ledd bokstav d) 5.1.4.3 Sletting I henhold til 11 e, jf. 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Virksomheten opplyste at sletterutinene håndteres lokalt fra den enkelte reiseoperatør. Noen dokumentert rutine for sletting finnes ikke. Virksomheten opplyste at passasjerlisten ikke ble lagret lengre enn lengden på kundens tur. De hadde ingen oversikt over hvor lenge opplysningene evt. ble lagret på serveren. Det er ikke tilfredsstillende at virksomheten ikke har kontroll på hvor lenge passasjerlisten blir lagret på serveren, og manglende dokumentasjon i forhold til sletterutiner på ansatte. Manglende dokumenterte rutiner for ivaretakelse av 27 og 28 i forhold til ansatte er et avvik etter 14 jf. forskriften 3-1 første ledd bokstav c). 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 11

5.1.4.4 Melding/konsesjon Rettslig grunnlag I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. og vurdering Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33. At det ikke er utferdiget dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33 er et avvik etter 14, jf. forskriften 3-1, tredje ledd bokstav f). 5.2 Krav om informasjonssikkerhet 5.2.1 I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, http://www.datatilsynet.no. 5.2.2 Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Det kom frem under kontrollen at det ikke er etablert sikkerhetsmål og sikkerhetsstrategi. De mener at det er dokumentert noe her og der, men at det er fragmentert og at det bør struktureres. Det er et avvik etter 13, jf. forskriften 2-3 at det ikke er dokumentert sikkerhetsmål og sikkerhetsstrategi. 7 av 11

Sikkerhetsorganisasjon Ansvaret for sikkerhet er plassert på ulike personer i organisasjonen. Innenfor HMS er det klart definert, men de erkjenner at de ikke er der ennå på informasjonssikkerhet. Daglig leder skal ha ansvaret for at bestemmelsene i kapittel 2 i forskriften følges. Vi kan ikke se at det er en tydelig ansvarsplassering for informasjonssikkerheten for personopplysninger. Det er et avvik etter 13, jf. forskriften 2-3 og 2-7 at daglig leder ikke har tatt ansvar for at kapittel 2 i forskriften følges og at det ikke er etablert klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. 5.2.3 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Virksomheten har ingen oversikt over personopplysninger som behandles og det er ikke gjort spesifikke risikovurderinger av informasjonssystem som inneholder personopplysninger. Under kontrollen nevnte de at det er gjort risikovurdering av Fidelio, informasjonssystem om bord i skipene, og dette skulle bli ettersendt. Vi hadde ikke mottatt risikovurderingen da vi skrev rapporten, så den er ikke blitt vurdert. Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik etter 13, jf. forskriften 2-4 og 2-16. 5.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. forskriften 2-3. 8 av 11

Det gjøres revisjoner av skip, men det er ikke gjennomført sikkerhetsrevisjon av informasjonssikkerhet. De sier at mandatet ligger der og at de har verktøy for å gjøre det, men at det ikke har vært prioritert til nå. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik etter 13, jf. forskriften 2-5. 5.2.5 Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Det finnes rutiner for avvikshåndtering innenfor andre områder, men ingen rutiner for avvikshåndtering slik det fremgår i av kravene i forskriften. Manglende rutine for avvikshåndtering er et avvik etter 13, jf. forskriften 2-6. 5.2.6 Sikkerhetstiltak 13, jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Det er etablert en rekke sikkerhetstiltak. Det er tilgangsstyring på systemene som inneholder personopplysninger; produksjonssystemet om bord i båtene er Fidelio, booking og reservasjonssystemet er PG Seaware, og det kommersielle CRM-systemet er Salesforce. HRavdelingen gir og fjerner rettigheter basert på roller. Internt logger de på Citrix med to-faktor, deretter pålogging til hvert enkelt system. De logger på med AD-bruker på Salesforce, og brukernavn og passord på de andre systemene. For at de ansatte skal ha ekstern tilgang brukes det VPN med to-faktor. 9 av 11

For å få tilgang til opplysningene om en kunde, må man vite reservasjonsnummer. Det går ikke an å søke på navn. Ingenting driftes internt, men de fleste applikasjonene blir driftet av Tieto og ICE ICT. Leverandør av CRM-system er Salesforce. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Virksomheten har enkelte sikkerhetstiltak på plass. Det at de ikke har gjennomført og dokumentert risikovurdering av informasjonssystemet, kan tyde på at det finnes trusler og tiltak de ikke har tatt høyde for når informasjonssystemet er satt opp og under drift. Vi mener at virksomheten må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i forskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra 13, jf. forskriften 2-14. 5.2.7 Opplæring Rettslig grunnlag I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. De har et IKT-reglement, men det gjøres lite av opplæring på IKT og informasjonssikkerhet. Når det er etablert sikkerhetsmål og -strategi, gjennomført risikovurderinger og dokumentert sikkerhetstiltak, bør virksomheten gi opplæring i bruk av informasjonssystemet i samsvar med de rutiner som er fastlagt. Manglende opplæring av de ansatte er et avvik etter 13, jf. forskriften 2-8. 5.3 Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. 10 av 11

Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Vi ble informert om at det finnes databehandleravtaler med Tieto, ICE ICT og Salesforce. Virksomheten kommer til å legge om driften, slik at de kun skal bruke én leverandør til drift. Det blir inngått en ny avtale i slutten av mars 2015. Vi legger til grunn at de har på plass de avtalene de sier og at de vil bruke vårt veiledningsmateriell når de skal inngå en ny, langsiktig avtale som vil omfatte det meste av driften av informasjonssystem som inneholder personopplysninger. Vi viser til vår veileder på databehandleravtaler på våre nettsider http://www.datatilsynet.no/sikkerhetinternkontroll/databehandleravtale/. Datatilsynet har ikke konstatert avvik. 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding