Endelig kontrollrapport

Like dokumenter
Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Endelig kontrollrapport

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

Kommunens Internkontroll

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Internkontroll og informasjonssikkerhet lover og standarder

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Endelig kontrollrapport

Retningslinjer for databehandleravtaler

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Bilag 14 Databehandleravtale

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Databehandleravtaler

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

VIRKE. 12. mars 2015

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Forvaltningsrevisjonsrapporten "IKT-sikkerhet, drift og utvikling"

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Transkript:

Saksnummer: 12/00320 Dato for kontroll: 05.06.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Høyre Utarbeidet av: Knut-Bredee Kaspersen Sted: Oslo 1 Innledning Datatilsynet gjennomførte kontroll hos Høyre 5. juni 2012. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Lars Arne Ryssdal, generalsekretær - Thomas Berg Olsen, organisasjonssjef - Øystein Bagle-Tennebø, personalsjef - Henrik Eriksen, IT-leder - Sunniva Ihle Steinstad, Informasjonsjef 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyns- og sikkerhetsavdelingen - Lars Otto Nymoen, overingeniør, Tilsyns- og sikkerhetsavdelingenn 3 Generelt Partikontoret leder Høyres administrative og organisatoriske funksjoner, med generalsekretæren som leder. Partiet er organisert med fylkeslag (alle fylker) og lokallag derunder. Det ble oppretttet et sentralt medlemsregister på EDB tidlig på 1980-tallet. Det enkelte medlem er formelt medlem i det enkelte lokallag. I alt har Høyre ca. 40.000 medlemmer. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 23. mars 2012 om at Høyre oversendte følgende dokumentasjon: 1 av 11

a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriftens kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) avviksrutiner, jf. personopplysningsforskriftens 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av Høyres plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Å være medlem i et politisk parti vil være en opplysning av følsom (sensitiv) karakter. Det er lite tvilsomt at dersom en organisasjon anses å være politisk, vil medlemskap uten videre måtte anses for å gi uttrykk for en politisk oppfatning. Det vises til personopplysningsloven 2 nr. 8 a). Under kontrollen ble Høyres internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll 6.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. 2 av 11

Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak Høyre hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Det ble opplyst at generalsekretæren er å anse som behandlingsansvarlig. Behandlingsansvaret omfatter også behandling av medlemsopplysninger i fylkeslag og lokallag. Generalsekretæren har hovedansvaret for at arbeidet med informasjonssikkerheten blir ivaretatt på en forsvarlig måte. Generalsekretær er overordnet arbeidsgiver for alle medarbeidere på partikontoret. Generalsekretæren har delegert oppgavene i forbindelse med informasjonssikkerheten til organisasjonssjefen. Det mangler imidlertid dokumentasjon knyttet til generalsekretærens delegering. IT-ansvarlig har operativt ansvar for IT-sikkerheten. Delkonklusjon Datatilsynet påpeker plikten til dokumentasjon av behandlingsansvaret/delegasjon av dette. 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må Høyre ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. 3 av 11

Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. og vurdering Høyre har utferdiget en oversikt over hvilke personopplysninger som behandles. Partiet har også redegjort for hjemmelgrunnlaget for medlemsregisteret. I oversikten har Høyre synliggjort at registrering av medlemsopplysninger er hjemlet i personopplysningsloven 8 bokstav a) ( å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås ). Det kan reises tvil om dette er et riktig behandlingsgrunnlag. Det er mer i tråd med praksis at riktig behandlingsgrunnlag her vil være samtykke slik dette framgår av 8 første ledd og 9 bokstav a) (sensitive opplysninger). Dette bør revideres i oversikten. Det ble opplyst at i tillegg til medlemsregisteret hadde Høyre et ansatteregister. Samt et register over økonomiske gaver som ble innrapportert til Statistisk sentralbyrå med hjemmel i partiloven. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Delkonklusjon Ikke noe avvik, men oversikten må oppdateres. 6.1.4 Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må i henhold til personopplysningslovens 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 4 av 11

6.1.4.1 Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Rutiner for å sikre innsyn til den registrerte er ikke utferdiget. Det ble påpekt at informasjon til den registrerte kunne gis gjennom utferdigelse av personvernpolicy på partiets hjemmeside, og at dette ville være tilfredsstillende etter regelverket. Delkonklusjon Manglende dokumenterte rutiner for å sikre innsyn og informasjon til den registrerte er å regne som et avvik fra personopplysningsforskriftens 3-1 bokstav d). 6.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Regelverkets krav Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Rutiner for å sikre informasjon til den registrerte er ikke utferdiget. Det ble påpekt at informasjon til den registrerte kunne gis gjennom utferdigelse av personvernpolicy på partiets hjemmeside, og at dette ville være tilfredsstillende etter regelverket. Delkonklusjon Manglende dokumenterte rutiner for å sikre informasjon til den registrerte er å regne som et avvik fra personopplysningsforskriftens 3-1 tredje ledd bokstav d). 5 av 11

6.1.4.3 Sletting Regelverkets krav I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. og vurdering Høyre har utarbeidet rutiner for sletting av medlemsdata. Rutinene er godt dokumentert. Høyres medlemmer har som hovedregel sitt medlemskap i en lokalforening. Ved utsendelse av medlemskontingent blir medlemmene informert om at medlemskapet løper til det sies opp. Høyres foreninger kan på eget initiativ, eller etter kontakt med medlemmet, be om at medlemskapet avsluttes for medlemmer som har vært medlem i mer enn tre år og ikke betalt ett av de tre siste. Det er opprettet forskjellige statuskoder for utmelding. Resultatet er at medlemskapet ikke blir stående aktivt lengre enn medlemmet eller foreningen ønsker. Av historiske og statistiske grunner vil opplysninger om medlemskap bli liggende i medlemssystemet, men da merket som passive medlemmer. Det er med overveiende sannsynlighet at man må anta at et medlem som tar den beslutning å ville melde seg ut av partiet, har en forventning om at dette også skjer reelt. Medelemmer har neppe noen forventning om at det overføres fra en aktiv del av medlemsregisteret til en passiv del av det samme register. Høyre har ikke behandlingsgrunnlag i 8 og 9 a) for fortsatt å oppbevare opplysninger om det enkelte medlem når dette medlemmet aktivt har meldt seg ut, med mindre Høyre har innhentet medlemmets aktive samtykke hertil. Datatilsynet er av den oppfatning at opplysninger om utmeldte medlemmer skal slettes, men har forståelse for ulike prosesser ifm. oppdateringer av de ulike registrene. Det er ikke utarbeidet skriftlige rutiner for sletting av gamle medlemslister i fylkes- og lokallag. I dag skjer overføring av medlemslister web-basert, eller ved hjelp av e-post. Rutinene sier ikke noe om hva som skal skje med tidligere tilsendte lister. Delkonklusjon Høyre har utarbeidet skriftlige rutiner for så vel kvalitet i registeret, som rutiner for sletting fra registeret. Disse er imidlertid ikke i samsvar med kravet til behandlingsgrunnlag, jf. 8 og 9 a). 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 11

Datatilsynet er av den oppfatning at Høyre ikke kan oppbevare personopplysninger om aktivt utmeldte medlemmer, med mindre disse har gitt sitt uttrykkelige samtykke hertil. Det fremstår som naturlig at sletting etter aktiv utmelding går vesentlig raskere enn når medlemskapet opphører på grunn av passivitet. Dette er et avvik fra personopplysningsloven 28 jf. 8 og 9 a). Det er ikke uarbeidet rutiner for sletting av gamle medlemslister i fylkes- og lokallag. Dette er et avvik fra personopplysningsloven 28 og 14 jf. forskriftens 3-1 tredje ledd bokstav c). 6.1.4.4 Konklusjon Høyre har bare delvis interkontrollbestemmelser etter personopplysningslovens 14 på plass. Arbeidet med å dokumentere ovennevnte rutiner må videreføres. Datatilsynet understreker også at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. 6.2 Krav om informasjonssikkerhet 6.2.1 Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 6.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi og konklusjon I oversendt dokumentasjon av internkontroll fremgår det at rutiner for sikkerhetsmål og sikkerhetsstrategi er etablert. 7 av 11

Datatilsynets kontroll gav ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer i sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Tilsynet avgrenser seg derfor til å minne om nevnte plikt om at informasjonssystemet skal jevnlig gjennomgås for å kartlegge om hensikten i forhold til virksomhetens behov og sikkerhetsstrategi gir tilfredstillende informasjonssikkerhet som resultat. Sikkerhetsorganisasjon og konklusjon Det var opprettet ansvarsforhold knyttet til organisering gjennomføring av sikkerhetsarbeidet i virksomheten. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen oppdateres og gjøres kjent for de ansatte. Avvik ikke konstatert. 6.2.3 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført og dokumentert en risikovurdering slik det fremgår av kravene i personopplysningsforskriften. Virksomheten har i etterkant av varsel om tilsyn satt i gang en prosess for å oppfylle kravene. Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik fra personopplysningsforskriftens 2-4. 6.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriftens 2-3. 8 av 11

Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Virksomheten har i etterkant av varsel om tilsyn satt i gang en prosess for å oppfylle kravene, Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon regnes som avvik fra personopplysningsforskriftens 2-5. 6.2.5 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Datatilsynet ble informert om at virksomheten har satt i gang en prosess for å oppfylle kravene i forskriften, men at rutinene ikke var tilstrekkelig dokumentert og implementert. Konklusjon Det er tilsynets oppfatning at det fortsatt gjenstår en del arbeid før kravene i forskriften er oppfylt, særlig for implementering av rutinene i organisasjonen. Mangelfulle rutiner og implementering av disse regnes som et avvik fra personopplysningsforskriften 2-6 og 2-8. 6.2.6 Sikkerhetstiltak Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriftens 2-8 tredje ledd og 2-14 annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Politisk oppfatning er en sensitiv personopplysning jf. personopplysningslovens 2 nr. 8 bokstav a. Dette stiller krav til sikring av konfidensialitet, og personopplysningsforksriften 2-11 tredje ledd pålegger at personopplysninger skal krypteres eller sikres på annen måte 9 av 11

når disse overføres elektronisk på et medium utenfor den behandlingsansvarliges fysiske kontroll. Under kontrollen ble det opplyst om at medlemslister i flere tilfeller sendes på e-post, også til mottaker som er utenfor virksomhetens nettverk og fysiske kontroll. Det var ikke iverksatt særskilte tiltak for å sikre konfidensialitet ved oversendelse. Virksomheten har et medlemsregister som kan aksesseres via av en Windows-applikasjon og en webbasert applikasjon. Førstnevnte er kun tilgjengelig internt i Høyres nettverk, mens den webbaserte har en adresse (URL) som er tilgjengelig for alle på internett. Det benyttes ordinært brukernavn og passord for å logge inn i via web, og kommunikasjonen foregår over en ukryptert forbindelse (http). Det ble opplyst om at brannmur logger inn- og utgående aktivitet, og at det var konfigurert hendelseslogger på servere, klienter og annet nettverksutstyr. For øvrig virket det uklart hva som ble logget av hendelser i medlemsregisteret. Konklusjon Virksomhetens bruk av usikret e-post til oversendelse av medlemslister er et avvik etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Virksomhetens manglende bruk av sterk autentisering i det webbaserte og åpent tilgjengelige medlemsregisteret er et avvik etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 og 2-14. Det er uklart hvorvidt virksomheten oppfyller kravene til registrering av autorisert og uautorisert bruk av informasjonssystemet, og hvorvidt den er i stand til å oppdage forsøk på uautorisert bruk. Tilsynet avgrenser seg derfor i denne omgang til å minne om nevnte plikt i forskriftens kapittel 2. 6.2.7 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. og konklusjon Virksomheten erkjente at rutinene ikke var tilstrekkelig implementert i organisasjonen. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 10 av 11

6.3 Høyres databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av Høyre må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. Det ble opplyst at Høyre benyttet leverandører som behandler personopplysninger på vegne av partiet. Dette gjaldt for utlevering av medlemslister til for trykking og pakking av medlemsavisen (Grøseth Trykkeri) og til Ottesen i forbindelse med inndrivelse av kontingent. Det var ikke opprettet databehandleravtaler i de nevnte tilfeller. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen beskriver hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2, herunder: Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det var ikke opprettet databehandleravtaler med ovennevnte samarbeidspartnere. Dette er et avvik i henhold til lovens 15 og personopplysningsforskriften 2-15. 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding