Saksnummer: 12/00157 Dato for kontroll: 26.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Kvænangen kommune Sted: Burfjord Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll med Kvænangen kommune 26.03.2012.. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Siw W. Smith, rådmann - Lillian Soleng, arkivansvarlig - Bjørn Ellefsæter, kontorsjef - Oddvar Kiærbech, rådgiver 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Kvænangen kommune ledes av rådmannen. Kvænangen er en liten kommune med i underkant av 1300 innbyggere. Av disse er 220 ansatt i kommunen (170 årsverk). Dette er en typisk samarbeidskommune, og deler tjenester med andre kommuner. Dette omfatter nord-kommunene i Troms: Skjervøy, Nordreisa, Kåfjord, Storfjord og Lyngen. Kommunen er organisert etter enhetsmodellen. Sikkerhetsboken ble sist revidert i juli 2011. Det ble opplyst at alle enhetsledere hadde en kopi av håndboken. Kommunen gjør bruk av to-sone modellen. I tillegg ligger helsetjenester på eget lokalt nett. 1 av 8
1 Oversendelse av dokumentasjon Datatilsynet ba i varselet om tilsyn av 20. februar 2012 om at kommunen oversendte følgende dokumentasjon: a) Oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) Styrende dokumenter for internkontroll jf. personopplysningsforskriftens 3-1 ledelsesforankring, c) Oversikt over personopplysninger som behandles jf. personopplysningsforskriftens 2-4, første ledd, d) Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart, e) Risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) Avviksrutiner, jf. personopplysningsforskriftens 2-6, g) Navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart Dokumentasjonen ble ikke sendt Datatilsynet i forkant, men utdelt på den stedlige kontrollen. En detaljert agenda ble oversendt kommunen i forkant av tilsynet. 2 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kontrollen startet med et innledende møte, med en overordnet gjennomgang av kommunens behandlinger av personopplysninger og dets internkontrollsystem. Kontrollen hadde fokus på følgende forhold: Internkontroll og ledelsesforankring jf. personopplysningsforskriftens 3-1 og 2-3 Sikkerhetsledelse, Oversikt over personopplysninger som behandles, jf. personopplysningsforskriftens 2-4, første ledd, Risikovurdering, jf. personopplysningsforskriftens 2-4, annet ledd. Avvikshåndtering, jf. personopplysningsforskriftens 2-6, Databehandlerrelasjoner, personopplysningslovens 15, samt forskriftens 2-15. 2 av 8
3 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 3.1 Internkontroll 3.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. 3.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Kommunen opplyste at rådmannen er å anse som behandlingsansvarlig. I tillegg var behandlingsansvaret delegert til den enkelte enhetsleder. Behandlingsansvaret var godt dokumentert i Sikkerhetshåndboka. Dette var også gjort kjent i organisasjonen. Delkonklusjon Ingen avvik. 3.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnkravene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens 3 av 8
risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Kommunen hadde utferdiget en oversikt over hvilke personopplysninger som behandles i kommunen, etter ovennevnte modell. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen ikke inneholder meldinger fra kommunen. Det bør framkomme i kommunens oversikt over hvilke personopplysninger som behandles i kommunen hvorvidt behandlingen er konsesjonspliktig, meldepliktig eller fritatt slike plikter. Delkonklusjon Datatilsynet anser oversikten over behandlinger for tilfredsstillende, men anbefaler kommunen å gjennomgå oversikten for å sikre at den er oppdatert og dokumenterer alle behandlinger av personopplysninger som foretas av kommunen. Det bemerkes at kommunen plikter å vurdere konsesjons- eller meldeplikt for de ulike behandlingene som foretas samt gjennomføre risikovurderinger. Dette forutsetter en oppdatert oversikt. 3.1.4 Konklusjon Det ble avdekket mangler ved kommunens internkontroll etter personopplysningslovens 14. Det er behov for å revidere internkontrollen slik at oversikten over hvilke personopplysninger som behandles oppdateres. Det fremstår som hensiktsmessig at disse inngår som en del av sikkerhetshåndboken til Kvænangen kommune. 4 av 8
3.2 Krav om informasjonssikkerhet 3.2.1 Generelt I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som det ble informert om under kontrollen. 3.2.2 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 3.2.2.1 Risikovurdering generelt Kommunen kunne dokumentere at det var gjennomført en risikovurdering, og at dette også ville være gjennomført i alle enheter i løpet av en tre ukers periode. Målet for risikovurderingen var å avdekke mulige svakheter knyttet til systemtekniske, fysiske og organisatoriske forhold ved kommunens tjenestesteder. Som en del av risikovurdering ble det utarbeidet en oversikt over alle registre/behandlinger av personopplysninger, også manuelle, som benyttes i kommunen. Sikkerhetshåndboka ble ferdigstilt i juli 2011. Konklusjon Ingen avvik. 3.2.2.2 Risikovurdering Datasenter i Kåfjord I 2005 ble et felles interkommunalt samarbeid vedtatt for fem av seks kommuner i Nord- Troms. En felles driftsentral er plassert i Kåfjord kommune, hvor IKT personell fra deltakende kommuner drifter løsningen i fellesskap. Det er opprettet to sikkerhetsansvarlig i henholdsvis Skjervøy og Nordreisa kommune. Tilsynet ble gjort kjent med at det i 2005 ble utarbeidet en strategisk IKT plan for kommunene Storfjord, Lyngen, Kåfjord, Nordreisa, Skjervøy og Kvænangen. Det fremgår av IKT - planen at: 5 av 8
Samordning og utvikling av felles IKT - plattform, herunder infrastruktur (servere/pc/kommunikasjon/sikkerhet/drift) og prosesstøtteløsninger(systemer innenfor økonomi/lønn/helse/sosial/barnevern/sak/arkiv osv.), vil være en meget viktig premissgiver for flyt av informasjon og samhandling mellom kommunene. Nord-Troms kommunene har brukt edb-baserte systemer siden midten av 80-tallet, og systemene har vært gjennom flere oppdateringer og endringer i løpet av de siste årene. I tidens løp har valgene av systemer i de forskjellige kommunene vært forskjellig. En samordning av alle fagsystemer vil være et stort og omfattende arbeid. Det ble opplyst at flere av fagsystemene, eksempelvis barnevern, sosialtjenesten, PLOmeldinger og saksbehandling og IOP er flyttet til datasentret i Kåfjord. Det var på kontrolltidspunket ukjent om det forelå en oppdatert IKT plan og handlingsplan for kommunene. Det ble opplyst og verifisert at virksomheten ikke hadde gjennomført risikovurdering av felles datasenter i Kåfjord siden opprettelsen i 2005. Konklusjon Datatilsynet påpeker viktigheten av å gjennomføre ny risikovurdering i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. Særskilt for endringer i infrastrukturen og kommunikasjonen mellom kommunen og datasenteret i Kåfjord. Se også rapportens punkt 6.1.2. Manglende oppfølging av tiltak og gjennomføring av risikovurdering regnes som et avvik etter personopplysningslovens 13 jf. personopplysningsforskriftens 2-4. 3.2.3 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriftens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Kommunen har etablert rutiner for håndtering av avvik. Disse framgår av Sikkerhetshåndboka Vedlegg 5. Sikkerhetshåndboka finnes både manuelt og elektronisk på fellesområdet på server. Det ble også opplyst om innrapporterte avvik i henhold til rutinen. Normen for informasjonssikkerhet er lagt til grunn for behandling av helsetjenester i kommunen. Det ble opplyst at rutinene var godt implementert i kommunen. 6 av 8
Konklusjon Ingen avvik. 3.2.4 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. og konklusjon Kommunen erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i kommunen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 4 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til avtale med kommunen. Det ble opplyst at kommunen benyttet leverandører som behandler personopplysninger på vegne av kommunen, bl.a. gjennom økonomisystemet og Fronter. Også samarbeidet mellom nord-kommunene i Troms hvor personopplysningene oppbevares på server i Kåfjord kommune utløser kravet til slik databehandleravtale. Slike databehandleravtaler ble ikke påvist under kontrollen. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene til en databehandleravtale som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen 7 av 8
Formålet ned behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det ble ikke dokumentert at det var opprettet databehandleravtaler med kommunens samarbeidspartnere (de andre nord-kommunene i Troms). Dette er et avvik i henhold til personopplysningslovens 15 og forskriftens 2-15. 8 av 8