Endelig kontrollrapport

Like dokumenter
Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Foreløpig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Retningslinjer for databehandleravtaler

Endelig kontrollrapport

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Endelig kontrollrapport

Foreløpig kontrollrapport

Kommunens Internkontroll

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

VIRKE. 12. mars 2015

Databehandleravtaler

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Foreløpig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Foreløpig kontrollrapport

Endelig kontrollrapport

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Kan du legge personopplysninger i skyen?

Endelig kontrollrapport

Foreløpig kontrollrapport

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Veileder i personvern og informasjonssikkehet for helse- og sosialtjenester i kommuner Hva er det og trenger vi det?

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Bilag 14 Databehandleravtale

Foreløpig kontrollrapport

Foreløpig kontrollrapport

KF Brukerkonferanse 2013

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Databehandleravtale for NLF-medlemmer

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Vår referanse (bes oppgitt ved svar)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Styringssystem i et rettslig perspektiv

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Transkript:

Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll med Kvænangen kommune 26.03.2012.. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Siw W. Smith, rådmann - Lillian Soleng, arkivansvarlig - Bjørn Ellefsæter, kontorsjef - Oddvar Kiærbech, rådgiver 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Kvænangen kommune ledes av rådmannen. Kvænangen er en liten kommune med i underkant av 1300 innbyggere. Av disse er 220 ansatt i kommunen (170 årsverk). Dette er en typisk samarbeidskommune, og deler tjenester med andre kommuner. Dette omfatter nord-kommunene i Troms: Skjervøy, Nordreisa, Kåfjord, Storfjord og Lyngen. Kommunen er organisert etter enhetsmodellen. Sikkerhetsboken ble sist revidert i juli 2011. Det ble opplyst at alle enhetsledere hadde en kopi av håndboken. Kommunen gjør bruk av to-sone modellen. I tillegg ligger helsetjenester på eget lokalt nett. 1 av 8

1 Oversendelse av dokumentasjon Datatilsynet ba i varselet om tilsyn av 20. februar 2012 om at kommunen oversendte følgende dokumentasjon: a) Oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) Styrende dokumenter for internkontroll jf. personopplysningsforskriftens 3-1 ledelsesforankring, c) Oversikt over personopplysninger som behandles jf. personopplysningsforskriftens 2-4, første ledd, d) Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart, e) Risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) Avviksrutiner, jf. personopplysningsforskriftens 2-6, g) Navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart Dokumentasjonen ble ikke sendt Datatilsynet i forkant, men utdelt på den stedlige kontrollen. En detaljert agenda ble oversendt kommunen i forkant av tilsynet. 2 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kontrollen startet med et innledende møte, med en overordnet gjennomgang av kommunens behandlinger av personopplysninger og dets internkontrollsystem. Kontrollen hadde fokus på følgende forhold: Internkontroll og ledelsesforankring jf. personopplysningsforskriftens 3-1 og 2-3 Sikkerhetsledelse, Oversikt over personopplysninger som behandles, jf. personopplysningsforskriftens 2-4, første ledd, Risikovurdering, jf. personopplysningsforskriftens 2-4, annet ledd. Avvikshåndtering, jf. personopplysningsforskriftens 2-6, Databehandlerrelasjoner, personopplysningslovens 15, samt forskriftens 2-15. 2 av 8

3 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 3.1 Internkontroll 3.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. 3.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Kommunen opplyste at rådmannen er å anse som behandlingsansvarlig. I tillegg var behandlingsansvaret delegert til den enkelte enhetsleder. Behandlingsansvaret var godt dokumentert i Sikkerhetshåndboka. Dette var også gjort kjent i organisasjonen. Delkonklusjon Ingen avvik. 3.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnkravene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens 3 av 8

risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Kommunen hadde utferdiget en oversikt over hvilke personopplysninger som behandles i kommunen, etter ovennevnte modell. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen ikke inneholder meldinger fra kommunen. Det bør framkomme i kommunens oversikt over hvilke personopplysninger som behandles i kommunen hvorvidt behandlingen er konsesjonspliktig, meldepliktig eller fritatt slike plikter. Delkonklusjon Datatilsynet anser oversikten over behandlinger for tilfredsstillende, men anbefaler kommunen å gjennomgå oversikten for å sikre at den er oppdatert og dokumenterer alle behandlinger av personopplysninger som foretas av kommunen. Det bemerkes at kommunen plikter å vurdere konsesjons- eller meldeplikt for de ulike behandlingene som foretas samt gjennomføre risikovurderinger. Dette forutsetter en oppdatert oversikt. 3.1.4 Konklusjon Det ble avdekket mangler ved kommunens internkontroll etter personopplysningslovens 14. Det er behov for å revidere internkontrollen slik at oversikten over hvilke personopplysninger som behandles oppdateres. Det fremstår som hensiktsmessig at disse inngår som en del av sikkerhetshåndboken til Kvænangen kommune. 4 av 8

3.2 Krav om informasjonssikkerhet 3.2.1 Generelt I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som det ble informert om under kontrollen. 3.2.2 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 3.2.2.1 Risikovurdering generelt Kommunen kunne dokumentere at det var gjennomført en risikovurdering, og at dette også ville være gjennomført i alle enheter i løpet av en tre ukers periode. Målet for risikovurderingen var å avdekke mulige svakheter knyttet til systemtekniske, fysiske og organisatoriske forhold ved kommunens tjenestesteder. Som en del av risikovurdering ble det utarbeidet en oversikt over alle registre/behandlinger av personopplysninger, også manuelle, som benyttes i kommunen. Sikkerhetshåndboka ble ferdigstilt i juli 2011. Konklusjon Ingen avvik. 3.2.2.2 Risikovurdering Datasenter i Kåfjord I 2005 ble et felles interkommunalt samarbeid vedtatt for fem av seks kommuner i Nord- Troms. En felles driftsentral er plassert i Kåfjord kommune, hvor IKT personell fra deltakende kommuner drifter løsningen i fellesskap. Det er opprettet to sikkerhetsansvarlig i henholdsvis Skjervøy og Nordreisa kommune. Tilsynet ble gjort kjent med at det i 2005 ble utarbeidet en strategisk IKT plan for kommunene Storfjord, Lyngen, Kåfjord, Nordreisa, Skjervøy og Kvænangen. Det fremgår av IKT - planen at: 5 av 8

Samordning og utvikling av felles IKT - plattform, herunder infrastruktur (servere/pc/kommunikasjon/sikkerhet/drift) og prosesstøtteløsninger(systemer innenfor økonomi/lønn/helse/sosial/barnevern/sak/arkiv osv.), vil være en meget viktig premissgiver for flyt av informasjon og samhandling mellom kommunene. Nord-Troms kommunene har brukt edb-baserte systemer siden midten av 80-tallet, og systemene har vært gjennom flere oppdateringer og endringer i løpet av de siste årene. I tidens løp har valgene av systemer i de forskjellige kommunene vært forskjellig. En samordning av alle fagsystemer vil være et stort og omfattende arbeid. Det ble opplyst at flere av fagsystemene, eksempelvis barnevern, sosialtjenesten, PLOmeldinger og saksbehandling og IOP er flyttet til datasentret i Kåfjord. Det var på kontrolltidspunket ukjent om det forelå en oppdatert IKT plan og handlingsplan for kommunene. Det ble opplyst og verifisert at virksomheten ikke hadde gjennomført risikovurdering av felles datasenter i Kåfjord siden opprettelsen i 2005. Konklusjon Datatilsynet påpeker viktigheten av å gjennomføre ny risikovurdering i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. Særskilt for endringer i infrastrukturen og kommunikasjonen mellom kommunen og datasenteret i Kåfjord. Se også rapportens punkt 6.1.2. Manglende oppfølging av tiltak og gjennomføring av risikovurdering regnes som et avvik etter personopplysningslovens 13 jf. personopplysningsforskriftens 2-4. 3.2.3 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriftens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Kommunen har etablert rutiner for håndtering av avvik. Disse framgår av Sikkerhetshåndboka Vedlegg 5. Sikkerhetshåndboka finnes både manuelt og elektronisk på fellesområdet på server. Det ble også opplyst om innrapporterte avvik i henhold til rutinen. Normen for informasjonssikkerhet er lagt til grunn for behandling av helsetjenester i kommunen. Det ble opplyst at rutinene var godt implementert i kommunen. 6 av 8

Konklusjon Ingen avvik. 3.2.4 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. og konklusjon Kommunen erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i kommunen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 4 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til avtale med kommunen. Det ble opplyst at kommunen benyttet leverandører som behandler personopplysninger på vegne av kommunen, bl.a. gjennom økonomisystemet og Fronter. Også samarbeidet mellom nord-kommunene i Troms hvor personopplysningene oppbevares på server i Kåfjord kommune utløser kravet til slik databehandleravtale. Slike databehandleravtaler ble ikke påvist under kontrollen. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene til en databehandleravtale som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen 7 av 8

Formålet ned behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det ble ikke dokumentert at det var opprettet databehandleravtaler med kommunens samarbeidspartnere (de andre nord-kommunene i Troms). Dette er et avvik i henhold til personopplysningslovens 15 og forskriftens 2-15. 8 av 8

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding