Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Like dokumenter
Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Endelig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Foreløpig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Kommunens Internkontroll

Databehandleravtaler

Retningslinjer for databehandleravtaler

Foreløpig kontrollrapport

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Foreløpig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Bilag 14 Databehandleravtale

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Databehandleravtale for NLF-medlemmer

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

ekommune 2017 Prosessplan for god praksis om personvern

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Foreløpig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Transkript:

Fjell kommune Postboks 184 5342 STRAUME Deres referanse Vår referanse (bes oppgitt ved svar) Dato 10/01137-9/RTH 27. februar 2012 Avslutning av sak - kontroll hos Fjell kommune- Internkontroll og informasjonssikkerhet Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010. Virksomheten har i brev av 23. januar 2011 bekreftet at avvik som danner grunnlag for vedtak om pålegg punk 1 og 3 er brakt til opphør. Kommunen har gjennomført revisjon av kommunes internkontroll i samsvar med personopplysningslovens 13 og 14. Datatilsynet aksepterer kommunens tilbakemelding på årsak til at lukking av de øvrige avvik i henhold til vedtak om pålegg punkt 2 ikke er gjennomført innen fristen. Tilsynet legger kommunens nye frist innen første halvdel av 2012 til grunn for lukking av de øvrige avvik. Tilsynet imøteser brev fra virksomheten når tiltak er gjennomført og anser med dette kontrollen for avsluttet. Virksomheten gjøres oppmerksom på at det kan bli gjennomført en etterkontrol1. Endelig kontrollrapport vedlegges. Med hilsen Leif T. Aanensen avdelingsdirektør Renate Thoreid senioringeniør Vedlegg: Endelig kontrollrapport Kopi til: Fylkesmannen i Hordaland Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Saksnummer: 10/01137 Dato for kontroll: 24.11.2010 Rapportdato: 30.01.2012 Foreløpig kontrollrapport Kontrollobjekt: Fjell kommune Sted: Fjell kommune Utarbeidet av: Renate Thoreid Knut Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Fjell kommune 24.11.2010. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre Internkontroll og sørge for tilfredsstillende informasjonssikkerhet iht. gjeldene lover og forskrifter. Kontrollen ble gjennomført i virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Steinar Nesse, Rådmann - Roy-Erik Hansen, Tryggleiksleiar - Kjell Fyllingen, IKT-sjef - Lillian Torsvik, Servicesjef - Wenke Sandvær, Personalrådgiver - Lisbeth Grosvold, Personalsjef 2.2 Fra Datatilsynet: - Knutt B. Kaspersen, fagdirektør (jurist), Tilsyn- og sikkerhetsavdelingen - Renate Thoreid, senioringeniør, Tilsyn- og sikkerhetsavdelingen 3 Generelt Fjell kommune er administrativt organisert i en matriseorganisasjon, med tre hoveddeler, Rådmannsfunksjon, fem linjeavdelinger (Sosial, Barnehage, Skole, Helse og Omsorg)og seks stabsavdelinger. IKT avdelingen inngår som en av stabsavdelingene og IKT-sjef og informasjonssikkerhetsansvarlig rapporterer direkte til rådmannen. Kommunen har i dag omtrent 1.500 ansatte, 1200 årsverk. Fjell kommune deltar i interkommunalt samarbeid på enkelte omrpder med bland annet Os, Fusa, og Askøy kommune. Kommunene har utarbeidet en IKT strategi 2010 2013, det tas 1 av 12

sikte på å følge opp de intensjoner og målsettinger som er beskrevet i KS strategi- og handlingsplan for IKT i kommunesektoren ekommune 2012. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. En detaljert agenda ble oversendt virksomheten i forkant av tilsynet. Kommuner har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. Under kontrollen ble kommunens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Det er Datatilsynets oppfatning at kommunens framdriftsplan dokumentert i Plan for informasjonstryggleik Fjell kommune 2011-2014 i større grad vil ivareta gjennomføringen av internkontroll og informasjonssikkerheter i kommunen. Sikkerhetsorganisasjon med rollen som sikkerhetsansvarlig vil koordinere arbeidet i alle enheter og påse at behandlingsansvarligs ansvar og oppgaver ivaretas på alle nivåer i kommunen. 1 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll 5.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 1 Internkontroll Fjell kommune v 1.01 oppdatert 29.10.2010 2 av 12

Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre, rutiner for innhenting av samtykke vil for eksempel kun være aktuelt på områder der det er aktuelt å innhente slikt samtykke. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. 5.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Faktiske forhold Kommunen opplyste om at rådmannen er å anse som behandlingsansvarlig. Kommunen har videre delegert myndighet om internkontroll og informasjonssikkerhet til tjenestestedsledere. I tillegg har kommunen utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Sikkerhet og beredskapssjef rapporterer direkte til rådmann og har det overordnede operative ansvaret for informasjonssikkerhet i kommunen. Videre benytter kommunen flere databehandlere, jf. personopplysningslovens 2 nr. 5. Delkonklusjon Behandlingsansvar og organisering av sikkerhetsarbeidet fremsto som tilfredstillende og fremkom av kommunens styrende dokumenter. Det manglet imidlertid en klargjøring av ansvarsforhold (delegasjon og databehandleravtaler) dokumentert i styrende dokumentene. 5.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved kommunens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen 3 av 12

( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. I og med at de ulike enhetene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Faktiske forhold Kommune hadde utarbeidet en tilfredstillende oversikt over behandlinger av personopplysninger i kommunen og hvilke system kommunen hadde. Oversikten var dokumentert i Internkontroll Fjell kommune, Informasjonstryggleik Dok 1-02:Styringsdokumnet internkontroll. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Datatilsynets meldingsdatabase viser at basen inneholder flere melding fra kommunen.. Delkonklusjon Datatilsynet anser oversikten over behandlinger for tilfredsstillende. 5.1.4 Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må i henhold til personopplysningslovens 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 5.1.5 Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. 4 av 12

Faktiske forhold Det ble opplyst at det ikke forelå overordnede rutiner for ivaretakelse av retten til innsyn, og at rutiner på dette var delegert til virksomhetsledere. Delkonklusjon Virksomhetens manglende rutine for ivaretakelse av retten til innsyn regnes som avvik jf, personopplysningslovens 14 jf. 18, jf. forskriftens 3-1. 5.1.6 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Regelverkets krav Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Faktiske forhold Det ble opplyst at virksomheten ikke hadde dokumenterte rutiner for ivaretakelse av kravet til informasjonsplikt etter 19, men at informasjonsplikten i praksis ble vurdert i henhold til forvaltningsloven. Delkonklusjon Virksomhetens manglende rutine for ivaretakelse av informasjonsplikten regnes som avvik jf, personopplysningslovens 14 jf. 19, jf. forskriftens 3-1. 5.1.7 Informasjonsplikt når det samles inn opplysninger fra andre enn den registrerte selv Regelverkets krav Det følger av personopplysningsloven 20 første ledd første punktum at en behandlingsansvarlig som samler inn opplysninger fra andre enn den registrerte selv, skal av eget tiltak informere den registrerte om hvilke opplysninger som samles inn og gi informasjon om nevnt i 19 første ledd så snart opplysningene er innhentet. Virksomheten skal etter personopplysningsloven 3-1, bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 5 av 12

Unntak fra informasjonsplikten følger av 20 annet ledd bokstav a til c, og personopplysningsloven 23. Faktiske forhold Det ble opplyst at virksomheten ikke hadde dokumenterte rutiner for ivaretakelse av kravet til informasjonsplikt etter 20, men at informasjonsplikten i praksis ble vurdert i henhold til forvaltningsloven. Delkonklusjon Virksomhetens manglende dokumenterte rutine for ivaretakelse av informasjonsplikten regnes som avvik jf, personopplysningsloven 14 jf. 20, jf. forskriftens 3-1. 5.1.8 Sletting Regelverkets krav I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige i forhold til formålet med behandlingen. 2 Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold Kommunen hadde ikke dokumenterte rutine for sletting av opplysninger på overordnet nivå. Det ble imidlertid opplyst at sletting av opplysninger ble gjennomført på ulike nivåer men at det manglet dokumenterte rutiner og prosedyrer. Konklusjon Manglende rutiner for sletting av personopplysninger anses som avvik etter personopplysningsloven 14 jf. 11 bokstav e og forskriftens 28. 5.1.9 Konklusjon Kommunen hadde i liten grad interkontrollbestemmelser etter personopplysningslovens 14 på plass. Datatilsynet understreker imidlertid at en sentral del av etableringen av et internkontrollsystem er også å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. Kommunen må sørge for tiltak for å tilpasse nivå og omfang av nevne bestemmelse slik at alle i virksomheten og virksomhetsledere blir kjent og etterlever internkontrollen. Tiltakene kan med fordel inngå i kommunens plan for informasjonssikkerhet 2011 2014 5.2 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom utenforstående får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at 2 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 12

databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. Faktiske forhold og konklusjon Det ble opplyst at kommunen benyttet flere leverandører som behandler personopplysninger på vegne av kommunen. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen dekker hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal inneholde kravene til en databehandleravtale som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Tilfredstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Avtalen bør imidlertid også inneholde: Formålet med behandling av personopplysningene Beskrivelse av hvordan opplysningene skal behandles Konkrete rutiner for bruk av personopplysningen Regler for utlevering av personopplysningen Innsyn, retting og sletting Dersom det forligger databehandlere for virksomheten krever regelverket at avtalen tilfredsstiller kravene i personopplysningslovens 15 jf. 13. Manglende avtaler, gjennomgang og oppdatering av databehandleravtaler anses som avvik i forhold til kravene som stilles i personopplysningslovens 15 jf. 13 og forskriftens 2-11. 6 Krav om informasjonssikkerhet 6.1 Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. 7 av 12

For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. På tidspunktet for kontrollen var aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune 2011-2014 under gjennomføring. Dokumentasjon av styrende, gjennomførende og kontrollerende dokumenter er noen av aktivitetene som skal gjennomføres i perioden. Iverksetting av årshjul for informasjonssikkerhet skal foreligge i mai 2011. Datatilsynet minner om den behandlingsansvarliges plikt til å etterleve kravene til informasjonssikkerhet i personopplysningsforskriftens kapittel 2. og anbefaler at prosjektets resultat videreføres og følges opp i virksomhetene. 6.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold og konklusjon I dokumentasjon, framdriftsplan for informasjonssikkerhet Fjell kommune 2011-2014 fremgår det at rutiner for sikkerhetsmål og sikkerhetsstrategi er etablert og revidert årlig. Datatilsynets kontroll gav ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer i sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Tilsynet avgrenser seg derfor til å minne om nevnte plikt om at informasjonssystemet skal jevnlig gjennomgås for å kartlegge om hensikten i forhold til virksomhetens behov og sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet som resultat. Det henvises til aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune 2011-2014 for gjennomføring. Sikkerhetsorganisasjon Faktiske forhold og konklusjon Datatilsynet konstaterte at kommunen hadde etablert sikkerhetsorganisasjon. I henhold til Plan for informasjonstryggleik Fjell kommune 2011-201 hadde rådmannen utpekt en sikkerhetsansvarlig. I tillegg var det utnevnt systemeiere og systemansvarlige. Det var opprettet ansvarsforhold knyttet til organisering gjennomføring av sikkerhetsarbeidet i kommunen. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at 8 av 12

sikkerhetsorganisasjonen skal gjøres kjent for de ansatte, dette kan for eksempel gjøres ved publisering på virksomhetens intranett. 6.3 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde gjennomført risikovurdering av informasjonssystemet, dokumentert i Risikoanalyse Sonedeling Intern/Sikker. Datatilsynet understreker viktigheten av å følge opp status og tiltak i henhold til dokumenterte risikofaktorer som fremkommer av rapporten. Foreslåtte tiltak utføres eventuelt vurderes før ny risikovurdering gjennomføres. Datatilsynet påpekte imidlertid viktigheten av å gjennomføre risikovurderinger i forhold til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak særskilt i forhold til virksomhetens sensitive personopplysninger lagret i sikker sone og bruk av minnepinne. Se også rapportens punkt 6.6. Datatilsynet kan ikke se at det er truffet tilstrekkelige tiltak for å sørge for konfidensialitet og uautorisert adgang til sensitive personopplysninger i sikker sone. Datatilsynet savner en risikovurdering hvor den behandlingsansvarlige kartlegger sannsynligheten for og konsekvenser av sikkerhetsbrudd. Datatilsynet vil i denne anledning minne om at det skal fastsette kriterier for akseptabel risiko forbundet med all behandlingen av personopplysninger og gjennomføre risikovurderinger i henhold til personopplysningsforskriftens 2-4. 6.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriftens 2-3. 9 av 12

Faktiske forhold og konklusjon Under kontrollen ble det avdekket mangler i forhold til etterlevelse av bestemmelsen om sikkerhetsrevisjon. Virksomheten kunne ikke dokumentere å ha gjennomført sikkerhetsrevisjon slik det fremgår av retningslinjene. Kravene i personopplysningsforskriftens 2-5 er etter dette ikke oppfylt, og manglende dokumentasjon regnes som avvik etter personopplysningslovens 13. Det henvises til aktiviteter i framdriftsplan for informasjonssikkerhet Fjell kommune 2011-2014 for gjennomføring. 6.5 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde rutiner for avvik men manglet etterlevelse for rapportering av avvik innenfor personvern. 3 Kommunen er i ferd med å innføre et elektronisk system, Quality Manager Plus. Systemet skal i større grad håndtere avvik som oppstår i virksomheten og i henhold til personvernet ved at det skal rapporteres, behandles og følges opp i avvikssystemet, QM+. Datatilsynet anbefaler at rutiner for avvik bringes i samsvar med hvordan det faktisk skal utøves i virksomheten og at disse fungerer etter sin hensikt. Tiltak kan inngår i kommunens arbeid med planlagte og systematiske tiltak basert på risikovurdering og avviksmelding dokumentert i plan for informasjonssikkerhet 2010 2011. Tilsynet avgrenser seg derfor til å minne om nevnte plikt. 6.6 Organisering På bakgrunn av risikovurderingen og akseptert nivå for risiko, skal det fastsettes hvilke organisatoriske og tekniske sikkerhetstiltak som er nødvendig for å få et tilfredsstillende sikkerhetsnivå. Det skal opprettes klare ansvars- og myndighetsforhold for bruk av informasjonssystemet. Videre skal informasjonssystemet konfigureres slik at tilfredstillende informasjonssikkerhet oppnås jf. 2-7. Sikkerheten og systemet for dette skal dokumenteres og være gjenstand for jevnlig revisjon. 3 Internkontroll Fjell kommune Rutine 3-1 Handtering av avvik og årskontroll 10 av 12

Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet. Slike tiltak skal etter forskriftens 2-14 tredje ledd omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne til behandlingsansvarlige. Virksomhetens konfigurering av informasjonssystemet skal tydelig fremkomme av et konfigurasjonskart og støttende beskrivelse, virksomhetens kopling av utstyr og program, inndeling av informasjonssystemet i soner og kommunikasjonspunkt for tilkopling til ekstern datakommunikasjon. Sikkerhetsarkitektur og inndeling i soner benyttes som grunnleggende prinsipp for å ivareta konfidensialitet av sensitive personopplysninger. Faktiske forhold Det ble opplyst at det var konfigurert sikkerhetsbarriere i form av sikker sone ved behandling av ulik informasjon i infrastrukturen til kommunen. Sensitive personopplysninger ble behandlet og lagret i sikker sone. Mulighet for kopiering av sensitive personopplysninger til eksterne lagringsmedier i form av minnepinner var tilgjengelig for klienter i sikker sone. Konklusjon Datatilsynet anser en slik praksis å være i konflikt med kommunens plikt til å sørge for tilfredstillende informasjonssikkerhet av konfidensialitetshensyn og organisering etter personopplysningslovens 13 jf. personopplysningsforskriftens 2-7 og 2-11. Det henvises også til rapportens kapittel 6.3. Risikovurdering. 6.7 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og konklusjon Under kontrollen erkjente virksomheten at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i virksomheten. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for bland annet nyansatte. Kravene i bestemmelsen anses dermed ikke oppfylt. 6.8 Spesielt om konfidensialitet, integritet og tilgjengelighet Tilgang til personopplysninger og sensitive personopplysninger i virksomhetens fagsystemer vil gjennomgående inneholde opplysninger som skal sikres spesielt. Personopplysningsloven 13 stiller som krav til den behandlingsansvarlige at det sørges for tilfredsstillende informasjonssikkerhet ved blant annet å sikre uautorisert innsyn i personopplysninger i henholdt til 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. Det er blant annet av stor viktighet at det opprettes klare rutiner for hvem som skal ha tilgang til opplysningene, knyttet opp mot et tjenstlig behov og at disse jevnlig revideres, særskilt når ansatte slutter eller endrer stilling. 11 av 12

Videre ser tilsynet behov for at kommunen går gjennom tilgangene til de ulike ansatte og sørger for at disse er korrekte. Det henstilles til virksomheten å gjøre en vurdering i henhold til behov for felles brukernavn og passord. Datatilsynet minner om bestemmelsene i personopplysningsforskriftens 2-10 om fysisk sikring, 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. 7 Avslutning Vedtak som følge av kontrollen følger i brev. 12 av 12

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding