Endelig kontrollrapport

Like dokumenter
Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Internkontroll og informasjonssikkerhet lover og standarder

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Retningslinjer for databehandleravtaler

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Kommunens Internkontroll

Endelig kontrollrapport

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Foreløpig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Foreløpig kontrollrapport

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Endelig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtaler

VIRKE. 12. mars 2015

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Kan du legge personopplysninger i skyen?

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Bilag 14 Databehandleravtale

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Endelig kontrollrapport

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

IKT-sikkerhet og sårbarhet i Risør kommune

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Foreløpig kontrollrapport

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Databehandleravtale for NLF-medlemmer

Databehandleravtale etter personopplysningsloven m.m

Deres referanse Vår referanse Dato / /EOL

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Foreløpig kontrollrapport

Transkript:

Saksnummer: 12/00178 Dato for kontroll: 28.03.2012 Rapportdato: 23.08.2012 Endelig kontrollrapport Kontrollobjekt: Lyngen kommune Sted: Lyngseidet Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll med Lyngen kommune 28.03.2012. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste besøksadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Leif Egil Lintho, rådmann - Svein Samuelsen, IT-ansvarlig - Tord Corneliussen, IKT-veileder - Åse Henriksen, Fagleder arkiv - Lisbeth Årsand, personalkonsulent 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Lyngen kommune ledes av rådmannen. Lyngen er en liten kommune med i overrkant av 3000 innbyggere, med 400 ansatt i kommunen. Lyngen omtales som alpelandsbyen ved havet. Organisasjonsmessig er kommunen bygd opp etter enhetsmodellen, men er inne i en prosess for utvikling av en etatsmodell. Dette er en samarbeidskommune, og deler tjenester med andre kommuner. Samarbeidet er imidlertid ikke så omfattende som mellom de andre kommunene. For eksempel har ikke Lyngen gjort bruk av tjenestene til Kåfjord som databehandler fullt ut. Det er bare i forhold til behandling av personopplysninger i åpen sone hvor Lyngen har et samarbeid med Kåfjord kommune. Kommunen gjør bruk av to-sone modellen. 1 av 7

Sikkerhetsboken ble utferdiget i 2006; og en sikkerhetsrevisjon ble gjennomført i 2010. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet om tilsyn av 20. februar 2012 om at kommunen oversendte følgende dokumentasjon: a) Oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) Styrende dokumenter for internkontroll jf. personopplysningsforskriftens 3-1 ledelsesforankring, c) Oversikt over personopplysninger som behandles jf. personopplysningsforskriftens 2-4, første ledd, d) Oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjons eller systemkart, e) Risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) Avviksrutiner, jf. personopplysningsforskriftens 2-6, g) Navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart Dokumentasjonen ble sendt Datatilsynet i forkant. En detaljert agenda ble oversendt kommunen i forkant av tilsynet. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kontrollen startet med et innledende møte, med en overordnet gjennomgang av kommunens behandlinger av personopplysninger og dets internkontrollsystem. Kontrollen hadde fokus på følgende forhold: Internkontroll og ledelsesforankring jf. personopplysningsforskriftens 3-1 og 2-3 Sikkerhetsledelse, Oversikt over personopplysninger som behandles, jf. personopplysningsforskriftens 2-4, første ledd, Risikovurdering, jf. personopplysningsforskriftens 2-4, annet ledd. Avvikshåndtering, jf. personopplysningsforskriftens 2-6, Databehandlerrelasjoner, personopplysningslovens 15, samt forskriftens 2-15. 2 av 7

6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll 6.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Kommunen opplyste at rådmannen er å anse som behandlingsansvarlig. Dette framgår også av sikkerhetshåndboka. Dette er imidlertid ikke i tilstrekkelig grad implementert i kommunen. Kommunen har en plikt etter personopplysningsforskriftens 2-8 å gjøre disse rutinene kjent overfor de ansatte. Delkonklusjon Selv om det fremgår av sikkerhetshåndboka at rådmannen er behandlingsansvarlig er det et avvik at behandlingsansvaret ikke i tilstrekkelig grad er implementert i kommunen. 3 av 7

6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnkravene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Kommunen har ikke utferdiget en oversikt over hvilke personopplysninger som behandles i kommunen. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen ikke inneholder meldinger fra kommunen. Det bør framkomme i kommunens oversikt over hvilke personopplysninger som behandles i kommunen hvorvidt behandlingen er konsesjonspliktig, meldepliktig eller fritatt slike plikter Delkonklusjon Manglende oversikt over hvilke personopplysninger som behandles i kommunen er et avvik i forhold til personopplysningsforskriftens 2-4 første ledd. 6.1.4 Konklusjon Kommunen hadde ikke utferdiget en oversikt over hvilke opplysninger som behandles. Dette er et krav etter forskriftens 2-4. Ellers hadde kommunen i hovedsak interkontrollbestemmelser etter personopplysningslovens 14 på plass. Datatilsynet understreker imidlertid at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. Dette er å regne som et avvik etter forskriftens 2-8. 4 av 7

6.2 Krav om informasjonssikkerhet 6.2.1 Generelt I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som det ble informert om under kontrollen. Sikkerhetsboka ble ferdigstilt i 2006. 6.2.2 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Det ble opplyst at virksomheten ikke hadde rutiner og ikke hadde gjennomført risikovurdering av informasjonssystemet. Datatilsynet påpekte imidlertid viktigheten av å gjennomføre risikovurderinger i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak særskilt i forhold til virksomhetens sensitive personopplysninger lagret i sikker sone og bruk av lagringsmedier, klipp og lim mellom sonene. Konklusjon Manglende risikovurderinger er et avvik etter forskriftens 2-4. Datatilsynet vil i denne anledning minne om at det skal fastsette kriterier for akseptabel risiko forbundet med all behandlingen av personopplysninger og gjennomføre risikovurderinger i henhold til personopplysningsforskriftens 2-4. 6.2.3 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriftens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. 5 av 7

For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Kommunen har etablert rutiner for håndtering av avvik. Disse framgår av Sikkerhetshåndboka Vedlegg 7. Sikkerhetshåndboka finnes både manuelt og elektronisk på fellesområdet på server. Selv om det var dokumenterte rutiner for håndtering av avvik, så var disse ikke implementert i kommunen. Kommunen har en plikt etter personopplysningsforskriftens 2-8 til å gjøre disse rutinene kjent overfor de ansatte. Konklusjon Det er etablert rutiner for håndtering av avvik. At disse ikke er implementert i kommunen regnes som et avvik etter personopplysningsforskriftens 2-8. 6.2.4 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. og konklusjon Kommunen erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i kommunen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 7 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. 6 av 7

Det ble opplyst at kommunen benyttet leverandører som behandler personopplysninger på vegne av kommunen, bl.a. gjennom Fronter. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det var ikke opprettet databehandleravtaler med Fronter. Dette er et avvik i henhold til personopplysningslovens 15 og personopplysningsforskriften 2-15. 7 av 7

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding