Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Like dokumenter
Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Deres referanse Vår referanse Dato / /EOL

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Internkontroll og informasjonssikkerhet lover og standarder

Kommunens Internkontroll

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Databehandleravtaler

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Vår referanse (bes oppgitt ved svar)

Kontroll av reseptformidleren endelig kontrollrapport

VIRKE. 12. mars 2015

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Endelig kontrollrapport

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Pålegg om stans av behandling av personopplysninger - Gator AS

Transkript:

Fiskeridirektoratet Postboks 185 Sentrum 5804 BERGEN Deres referanse Vår referanse (bes oppgitt ved svar) 11/7937 13/00201-8/HHU 26. juni 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet Det vises til Datatilsynets kontroll hos Fiskeridirektoratet den 21.05.2013 og Datatilsynets varsel om vedtak av 31.05.2013. Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Datatilsynet har i brev av 20.06.2013 mottatt bekreftelse på at direktoratet ikke har noen merknader til varslet. Det fattes derfor vedtak i samsvar med tidligere varsel. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Fiskeridirektoratet må tydeligere dokumentere hvem som er behandlingsansvarlig i forhold til behandling av personopplysninger i virksomheten, jf. personopplysningsloven 2 og 11. I de tilfeller ansvaret er delegert skal også dette framgå jf forskriften 2-16. Det vises til kontrollrapportens 6.1.2. 2. Fiskeridirektoratet må utarbeide en oversikt over behandlinger av personopplysningerr som tydeligere viser hvilke personopplysninger som behandles, formålet med behandling og lovgrunnlaget, jf 13 og 14, jf forskriften 2-4, 1. ledd. Det vises til kontrollrapportens 6.1.3. 3. Fiskeridirektoratet må utarbeide og dokumentere rutiner for ivaretakelse av den registrertes rettigheter etter personopplysningsloven 18, 19 og 20 jf forskriften 3-1, 3. ledd bokstav d). Det vises til kontrollrapportens 6.1.4.3. 4. Fiskeridirektoratet må utarbeide dokumentasjon om hvordan virksomheten ivaretar den registrertes rettigheter etter personopplysningsloven 27 og 28 jf forskriften 3-1. 3. ledd bokstav c). Det vises til kontrollrapportens 6.1.5 5. Fiskeridirektoratet må etablere et system for håndtering av avvik og/eller sikkerhetsbrudd, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-6. Det vises til kontrollrapportens 6.2.6. 6. Fiskeridirektoratet må etablere og dokumentere tilfredsstillende informasjonssikkerhet bl.a. ved å gjøre egne risikovurderinger knyttet til «klipp- Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

og limfunksjonalitet», bruk av ukrypterte minnepinner, rutiner for sletting ved fratreden og mulighetene for autorisert tilgang til direktoratets lokaler slik at personopplysningslovens 13, jf. personopplysningsforskriften 2-10, 2-11, 2-12 og 2-13 oppfylles. Det vises til kontrollrapportens avsnitt 6.2.7 Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. desember 2013. Fiskeridirektoratet må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Hallstein Husand seniorrådgiver Vedlegg: Endelig kontrollrapport 2

Saksnummer: 13/00201 Dato for kontroll: 21.05.2013 Rapportdato: 26.06.2013 Endelig kontrollrapport Kontrollobjekt: Fiskeridirektoratet Sted: Bergen Utarbeidet av: Hallstein Husand Knut Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Fiskeridirektoratet 21. mai 2013. Kontrollen ble utført med hjemmel i personopplysningsloven 42, 3. ledd, jf. 44. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak jf. 13. Alle henvisninger til lovhjemler i denne rapporten vil, med mindre annet eksplisitt oppgis, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Liv Holmefjord, Fiskeridirektør (tilstede på åpningsmøtet og avslutningsmøtet) - Rolv Behrens, Direktør, adm. - Tom Titlestad, Seksjonssjef, adm. - Svein Maubach, Seksjonssjef, IT tekn. - Aksel Eikemo, Fagdirektør, ressursavd. - Truls Konow, Seksjonssjef, ressursavd. - Sigbjørn Ulvatn, Seniorrådgiver, Tilsynsseksjon, Kyst- og havbruksavd. - Vidar Baarøy, Seksjonssjef, Kyst- og havbruksavd. - Hanne Rach, Seniorrådgiver, Staistikkavd. - Arne Nordli, Seniorrådgiver, adm. 1 av 10

2.2 Fra Datatilsynet: - Hallstein Husand, seniorrådgiver - Knut B. Kaspersen, fagdirektør 3 Generelt Fiskeridirektoratet gir råd til Fiskeri- og kystdepartementet om hvordan fiskeri- og akvakulturnæringen bør forvaltes, og kontrollerer at lover og regler blir fulgt. Arbeidet er hovedsakelig delt inn i tre områder: Havressurser Akvakultur Marin arealforvaltning Fiskeridirektoratets hovedkontor ligger i Bergen, men mange av forvaltnings- og kontrolloppgavene utføres ved de sju regionene. Det er ca 220 ansatte i Bergen, men ca 270 arbeider i regionene. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 4. mars 2013 om at Fiskeridirektoratet oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, jf. forskriften 2-4, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. Andre relevante dokumenter ble utlevert på møtet, eller ettersendt. En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av Fiskeridirektoratets plikter til å føre internkontroll og ivaretakelse av tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Fiskeridirektoratets internkontrollsystem, sikkerhetsarbeid og -tiltak gjennomgått på overordnet nivå. Tilsynet hadde fokus på den behandlingsansvarliges arbeid etterlevelse av gjeldende lover og forskrifter. 2 av 10

6 og avvik fra lovbestemte krav til rutiner ved behandling av personopplysninger 6.1 Internkontroll 6.1.1 Generelt om personopplysningsloven 14 Fiskeridirektoratet har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av denne lov. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak Fiskeridirektoratet hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14, 2. ledd skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvarlig defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som reglene i personopplysningsloven retter seg mot. Forskriften 2-3 (sikkerhetsledelse) understreker at den som har den daglige ledelsen av virksomheten som den behandlingsansvarlige driver har ansvaret for å ivareta informasjonssikkerhet. Dette er nærmere omtalt i kapittel 6.2. Behandlingsansvaret som tilligger Fiskeridirektøren er synliggjort i organisasjonen. Delegasjon av oppgaver følger i utgangspunkt organisasjonsstrukturen i virksomheten. Det er i midlertid grunn til å påpeke at hvem som har fått tildelt hvilke oppgaver bør dokumenteres skriftlig. Manglende dokumentasjon på delegasjon av plikter er et avvik jf. forskriften 2-16. 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens 3 av 10

sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte behandlingsgrunnlaget ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Fiskeridirektoratet hadde utferdiget en oversikt over behandling av personopplysninger. Oversikten er imidlertid ikke fyllestgjørende, da det ikke klart framgår formål og lovgrunnlag for den enkelte behandling. Fra Datatilsynets side ble det påpekt at man med fordel kunne gjøre bruk av den matrise som er gjengitt i veilederen for internkontroll og informasjonssikkerhet. I en slik oversikt bør det også framgå hvilke behandlinger som er meldepliktig/konsesjonspliktig. Fiskeridirektoratet tok under kontrollen også opp grensedragningen mellom når en fisker driver næring og når han er å regne som privatperson. Det ble bl.a. vist til fiskermanntallet, hvor man i tilliggende saksbehandlersystem har registrert opplysninger av mer personlig karakter, for eksempel helseopplysninger. I hovedregisteret vil dette bare være anmerket med en kode, f.eks. 1, 2, 3 etc. Hvis en behandling/register gjør bruk av opplysning som er av mer personlig karakter, f.eks. opplysninger fra NAV, helseopplysninger e.l. skal denne behandling/register følge personopplysningslovens bestemmelser. Skjemaet kan med fordel videreutvikles. Det er en mangel at det ikke kommer tydeligere fram hvilke personopplysninger som behandles, formålet med behandlingen og lovgrunnlaget. En slik videreutvikling av matrisen vil gjøre det lettere å etterkomme den registrertes forespørsel om innsyn etter 18, 1. ledd. Manglende oversikt over den enkelte behandling av personopplysninger er et avvik fra 14, og 13, jf. forskriften 2-4, 1. ledd. 6.1.4 Innsyn og informasjon Den behandlingsansvarlige plikter å gi innsyn i sin behandling, jf. 18, og informasjon om sin praksis, jf. 19 og 20. 6.1.4.1 Rett til innsyn Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn i personopplysninger om seg selv følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. 4 av 10

Unntak fra retten til innsyn følger av 18 siste ledd og 23. Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 18. Vurdering og delkonklusjon Manglende dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 18 er et avvik etter forskriften 3-1, tredje ledd bokstav d). 6.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, 1. ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1, 1. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av 19 siste ledd og 23. Det er ikke utferdiget dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 19 og 20. Vurdering og delkonklusjon Manglende dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 19 og 20 er et avvik etter forskriften 3-1, tredje ledd bokstav d).. 6.1.4.3 Hovedkonklusjon Det ble konstatert avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) for ivaretakelse av 18, 19 og 20. 5 av 10

6.1.5 Opplysningskvalitet og sletting i henhold til 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Etter 27 skal personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle rettes. Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at personopplysningenes kvalitet foretas i samsvar med bestemmelsene i loven. Det er ikke utarbeidet dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 27 og 28. Manglende dokumenterte rutiner for ivaretakelse av den registrertes rettigheter etter 27 og 28 er et avvik etter forskriften 3-1, tredje ledd bokstav c). 6.2 Krav om informasjonssikkerhet 6.2.1 - generelt I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. Se også forskriften 3-1, 2. ledd. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 6.2.2 Sikkerhetsledelse, sikkerhetsmål og sikkerhetsstrategi I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Den behandlingsansvarlige skal etablere en sikkerhetsorganisasjon i virksomheten, jf. forskriften 2-7. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 10

Fiskeridirektoratets sikkerhetsstrategi er dokumentert i Informasjonssikkerhetspolicy for Fiskeridirektoratet. Dette er et kort og konsist dokument som inneholder korte, men like fullt tilstrekkelige sikkerhetsmål, prioriteringer og strategier. Ingen avvik konstatert 6.2.3 Sikkerhetsorganisasjon I henhold til forskriften 2-7 skal det etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Ansvar og roller for sikkerhetsledelse er hovedsakelig dokumentert i dokumentet Informasjonssikkerhetspolicy for Fiskeridirektoratet. Supplerende informasjon om sikkerhetsledelse fins også i organisasjonsoversikten for Fiskeridirektoratet. Sikkerhetsorganisasjon er etablert. Ingen avvik konstatert. 6.2.4 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Den behandlingsansvarlige skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Fiskeridirektoratet har gjennomført risiko- og sårbarhetsanalyser knyttet til sine løsninger, dette er dokumentert i egne dokumenter både for IT-avdelingen generelt og for teknisk seksjon spesielt. Det virker som om direktoratet har gode rutiner for både gjennomføring, forankring og dokumentasjon av sine risikovurderinger. Ingen avvik konstatert. 6.2.5 Sikkerhetsrevisjon Virksomheten plikter å å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig, jf. forskriften 2-5. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at 7 av 10

sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Fiskeridirektoratet har rutiner for å gjennomføre jevnlige sikkerhetsrevisjoner, det virker som om dette er godt forankret i ledelsen og at dette dokumenteres. Ingen avvik konstatert.. 6.2.6 Avvikshåndtering/sikkerhetsbrudd Virksomheten skal ha rutiner for avvikshåndtering, jf. forskriften 2-6. Resultatet fra avviksbehandling skal dokumenteres. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Verken i tilsendt materiale eller på den stedlige kontrollen er det gjengitt en rutine for avvikshåndtering som fullt ut tilfredsstiller forskriften 2-6. Imidlertid ble det under den stedlige kontrollen opplyst at rutiner for avvik er under implementering og at dette vil være på plass i nær framtid. Mangel på tilstrekkelige rutiner for avvikshåndtering er å regne som avvik å regne ift forskriften 2-6. 6.2.7 Sikkerhetstiltak Den behandlingsansvarlige skal gjennomføre tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet, jf. 13, ref. forskriften 2-11, 2-12 og 2-13. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Alle ansatte i Fiskeridirektoratet er registrert i Active Directory (AD) og har et eget brukernavn og passord for å nå direktoratets løsninger. I tillegg er det den enkelte systemeier 8 av 10

som gir ytterligere tilgang til de ulike løsningene, der disse også er passord beskyttet. For hjemmekontorløsninger og for såkalte eksterne brukere er det egen tofaktor passordløsninger tilsvarende nivå 4 løsning fra Buypass. Det gjennomføres ikke regelmessige penetrasjonstester av direktoratets løsninger. Det er mulig å både klippe og lime fra saksbehandlingssystem til f.eks. e-post og det er mulig å lagre fra saksbehandlingssystem og direkte på ukryptert minnepinne. Imidlertid sier rutinene at dette ikke skal gjøres. Minnepinner direktoratet selv deler ut er alltid krypterte. Det er utarbeidet en rutine for melding ved fratredelse for å få gjort nødvendige slettinger og endringer i IT-løsningene, imidlertid fungerer ikke dette meldesystemet tilfredsstillende. Tilgangen til direktoratets lokaler er i dag kun sikret med en kode som er felles for alle ansatte. Bruk av «klipp- og limfunksjonalitet» til og fra e-post og bruken av minnepinner må risikovurderes. Virksomheten må selv gjøre denne risikovurderingen jf denne rapportens kap 6.2.3, og vurdere hva som er godt nok i henhold til forskriften 2-11og 2-14. Det samme må gjøres ift manglende etterlevelse av egen rutine for melding ved fratredelse jf forskriften 2-12. Uautorisert tilgang til direktoratets lokaler kan også bidra til brudd på informasjonssikkerhet og dagens løsning bør derfor også risikovurderes jf forskriften 2-10. 6.2.8 Opplæring Medarbeidere skal ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner, jf forskriften 2-8. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Fiskeridirektoratet har opplæring for alle nyansatte i bruk av saksbehandling generelt og også om personvern og informasjonssikkerhet. Ingen avvik konstatert. 6.3 Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. 9 av 10

Fiskeridirektoratet har standard databehandleravtaler med Evry. Ingen avvik konstatert. 10 av 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding