Deres referanse Vår referanse (bes oppgitt ved svar) Dato 09/00172-7 /RTH 30. juni 2009 Vedtak om pålegg - endelig kontrollrapport for kommune Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009. Vurdering av tilsvar Datatilsynet har i brev mottatt i Datatilsynet 15. mai 2009 og i brev av 17. juni 2009 mottatt kommunens merknader til varselet. Vi har justert rapportens punkt 5.5.4 og 5.5.5 i tråd med kommunens merknader. Endelig kontrollrapport vedlegges. Datatilsynet gjør for ordens skyld oppmerksom på at rapporten skal gi uttrykk for det som faktisk skjedde under kontrollen. Vi har for øvrig følgende kommentarer til kommunens tilsvar: Internkontroll, jf. punkt 1 i vårt varsel om vedtak Datatilsynet er positiv til at kommunen umiddelbart vil starte arbeidet med å utarbeide og implementerer tiltak i henhold til vedtak nr.1 a, etablere skriftlige rutiner for publisering av personopplysninger på Internett og 1b etablere skriftlige rutiner for ivaretakelse av personopplysningslovens krav til innsyn og sletting. Det vises til kontrollrapportens punkt 5.1.5 og 5.5.5. Kommunen har for øvrig bekreftet at avvik som dannet grunnlag for varsel om vedtak er planlagt brakt til opphør høsten 2009. Datatilsynet legger dette til grunn og fastsetter frist for gjennomføring av vedtak i henhold til dette. Informasjonssikkerheten, jf. punkt 2 i vårt varsel om vedtak Datatilsynet har vurdert tiltakene som er beskrevet i deres brev av 17. juni og i henhold til vedtak 2 a, gjennomføre sikkerhetsrevisjon i samsvar med personopplysningsforskriftens 2-5. Det vises til tilsynsrapportens pkt. 5.3.4. Datatilsynet er tilfreds med at kommunen skal gjennomføre sikkerhetsrevisjon i samsvar med kommunes rutiner, sikring av personopplysninger i kommunen 2009 v5 og kap. 1.5.1 sikkerhetsrevisjon. Kommune har imidlertid ikke oppgitt noen tidsplan for gjennomføring av de varslede vedtaket utover at tiltak skal gjennomføres årlig. Det vil dermed bli fattet vedtak i tråd med varselet på dette området. Databehandleravtaler jf. punkt 3 i vårt varsel om vedtak Datatilsynet har blant annet mottatt kopi av vedlikeholdsavtale for IT-systemer i Helse- og sosialetaten. Det oversendte materialet er en god dokumentasjon på hvordan taushetsplikten ivaretas for utenforstående og eventuelle databehandlere. Datatilsynet kan imidlertid ikke ut fra det oversendte materialet se om det er behov for databehandleravtaler i tillegg til taushetserklæringen. Detter er blant annet tilfellet der utenforstående får ekstern tilgang til kommunen sitt nett. En slik databehandleravtale må oppfylle kravene i Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO
personopplysningslovens 15 jf. 13. Datatilsynet har utarbeidet et veiledningsmateriale for utarbeidelse av datatbehandleravtaler, jf. www.datatilsynet.no/templates/page 2747.aspx. Som følge av uklarheten på dette punket vil det bli fattet vedtak i tråd med varselet på dette området. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Kommunen må etablere og dokumentere tilfredstillende internkontroll i samsvar med personopplysningslovens 14, personopplysningsforskriftens kapittel 3 og kontrollrapportens punkt 5.1.5 og 5.5.5. Dette innebærer blant annet at kommunen må: a. etablere skriftlige rutiner for publisering av personopplysninger på Internett. b. etablere skriftlige rutiner for ivaretakelse av personopplysningslovens krav til innsyn ( 18) og sletting ( 28). 2. Kommunen må etablere og dokumentere tilfredstillende informasjonssikkerhet i samsvar med personopplysningslovens 13, jf. personopplysningsforskriftens kapittel 2. Dette innebærer at kommunen må: a. gjennomføre sikkerhetsrevisjon i samsvar med personopplysningsforskriftens 2-5. Det vises til tilsynsrapportens pkt. 5.3.4. 3. Kommunen må etablere databehandleravtale med sine leverandører slik at de oppfyller kravene til databehandleravtale i personopplysningslovens 15 og 13. Databehandleravtalen oversendes til Datatilsynet. Det vises til tilsynsrapportens punkt 5.2 og 5.2.1. Datatilsynet legger kommunens egne frister til grunn for lukking av avvik 1. jf. brev fra kommunen av 17. juni 2009. Vedrørende punkt. 2 og gjennomføring av sikkerhetsrevisjon skal avviket lukkes innen 1. oktober 2009. For at Datatilsynet skal kunne avslutte saken kreves det at kommunen innen nevnte dato bekrefter at avvik er gjennomført og brakt til opphør. Med mindre annet er angitt kreves ikke ytterligere dokumentasjon på lukking av avvik. Det gjøres oppmerksom på at virksomheten kan bli gjenstand for etterkontroll. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen fire uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at kommunen har rett til innsyn i sakens dokumenter, jf. forvaltningslovens 18. Datatilsynet ber om tilbakemelding innen 13. juli 2009 på om kommunen på grunn av ferieavvikling har behov for en noe lengre klagefrist. Med hilsen 2
Leif T. Aanensen avdelingsdirektør Renate Thoreid senioringeniør Vedlegg: Endelig kontrollrapport 3
Saksnummer: 09/00172-4 Dato for kontroll: 30.04.2009 Rapportdato: 29. juni 2009 Endelig kontrollrapport Kontrollobjekt: Sted: Utarbeidet av: Renate Thoreid Aslaug Bendiksen 1 Innledning Datatilsynet gjennomførte kontroll hos kommunen 30. april 2009. Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kommunens plikter til å føre internkontroll og sørge for tilfredsstillende informasjonssikkerhet. Kontrollen ble gjennomført ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra Datatilsynet: - Renate Thoreid, senioringeniør - Aslaug Bendiksen, seniorrådgiver 3 Generelt Kommunen er organisert etter en tradisjonell hierarkisk struktur, med fire etater, i tillegg til sentraladministrasjon. Rådmannen er kommunens øverste administrative leder. Skole- og barnehageetaten er organisert i fire seksjoner inkl. Seksjon barnehage og en seksjon med blant annet Barnehagemyndigheten og stabsfunksjoner. Kommunen hadde på kontrolltidspunktet ca 43.000 innbyggere. Det var ca 2500 årsverk eller ca 3000 ansatte i kommunen. Kommunen oppga at de hadde 52 barnehager, hvorav 15 av disse er kommunale. Kommunen hadde på kontrolltidspunktet ca 140 ledige barnehageplasser. Kommunen hadde et samarbeid med andre kommuner i Vestfold. 12k er et interkommunalt samarbeid mellom 12 Vestfoldkommuner. Formålet med samarbeidet er blant annet å utvikle tjenestetilbudet, samordne kommunens plan-, areal- og næringspolitikk samt være talerør for kommunale fellesinteresser i Vestfold. 12k har et styre bestående av samtlige ordførere og rådmenn. Organisasjonen har ingen formell beslutningsmyndighet. 1 av 12
12k-samarbeidet har gjennomført omtrent 60 prosjekter innenfor en rekke fagområder, blant annet bredbåndsutbygging (fiber), felles driftssentral for sensitive fagsystemer, kommunale hjemmesider (felles struktur for kommunenes hemmesider). Ni kommuner har tatt felles struktur i bruk. Videre var det samarbeid om Sak/arkiv (felles innkjøp, implementering og opplæring av sak/arkivsystem for 10 kommuner). 12k har under arbeid et prosjekt om nytt tjenestenett basert på fiberteknologi. Dette skal legge til rette for bedre interkommunalt samarbeid. Kommunen opplyste at de har påbegynt et prosjekt med å innføre nytt intranett for kommunens ansatte og at arbeidet med overføring av styrende dokumenter var et prioritert område. Kommunen kunne også opplyste om at de hadde mye av sin dokumentasjon av internkontroll i permer som var tilgjengelig på etater og seksjoner. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av kommunens plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Kommuner har en omfattende behandling av personopplysninger. Personopplysningenes sensitivitet og omfang varierer i de ulike ansvarsområdene og på ulike lokasjoner til kommunen. Dette er nærmere beskrevet i dokumentasjon Sikring av personopplysninger i kommunen 2009 v5. Under kontrollen ble kommunens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. I tillegg ble det undersøkt hvordan internkontrollbestemmelsene var implementert ved søknad om opptak i barnehage. Datatilsynet hadde oversendt en detaljert agenda for tilsynsbesøket i forkant. Denne var ikke kjent for deltakerne av kontrollen. Manglende agenda kan etter Datatilsynets vurdering ha hatt betydning for kommunens forberedelse av kontrollen, samt Datatilsynets gjennomføring av denne. Det blir derfor ekstra viktig for kommunen å kommentere den foreløpige rapporten. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll 5.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven og i regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt under 5.3. 2 av 12
Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak kommunen hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Gitt kommunenes kompleksitet vil enkelte deler av internkontrollen være mer aktuelle på noen områder enn andre; rutiner for innhenting av samtykke vil for eksempel kun være aktuelt på områder der det er aktuelt å innhente slikt samtykke. Videre vil implementering av de enkelte kravene i loven kunne variere fra saksområde til saksområde, og det kan derfor være hensiktsmessig å spesialtilpasse enkelte gjennomførende dokumenter til det enkelte saksområdet. Bestemmelsene om sletting av elektroniske søknadsskjema til barnehagene vil for eksempel se annerledes ut enn sletting av informasjon i personalmapper. 5.1.2 Ansvarsforhold etter loven Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 5.3. Kommunen opplyste om at rådmannen er å anse som behandlingsansvarlig. Rådmannen har delegert myndighet om internkontroll og informasjonssikkerhet til etatsledere. Dette innbefattet plikten til å vurdere om en behandling var lovlig, om den var omfattet av konsesjons- eller meldeplikten og plikt til å søke om konsesjon eller sende melding til Datatilsynet. Kommunen har utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Assisterende rådmann var kommunens sikkerhetsansvarlig - administrativt organisert direkte underlagt rådmannen. Dette er nærmere beskrevet i dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 og kap.1.3 kommunens sikkerhetsorganisasjon. Datatilsynet fikk opplyst under tilsynet at dokumentasjonen ikke var tilgjengelig på kommunens intranett. Videre benytter kommunen databehandlere, jf. personopplysningslovens 2 nr. 5. Delkonklusjon: Behandlingsansvarlig og organisering av sikkerhetsarbeidet fremkommer av de styrende dokumentene, men var ikke tilgjengelig på kommunens intranett for ansatte i kommunen. Datatilsynet anbefaler at internkontroll og informasjonssikkerhet, slik det er dokumentert, inngår i arbeidet med kommunens intranett. Informasjonen blir da tilgjengelig 3 av 12
for alle ansatte i kommunen og lett å oppdatere for koordinerende enhet. Videre bør øvrige ansvarsforhold (delegasjon og databehandleravtaler) fremgå av de styrende dokumentene. 5.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar, må kommunen ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved risikovurderinger. Kravet til oversikt over behandlinger følger også av personopplysningsforskriftens 2-4. Oversikten må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkommet et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet overleverte på kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Oversikten skal foreligge på overordnet nivå i de styrende dokumentene. Disse skal være tilgjengelig for de ansatte. I og med at etatene og seksjonene best kjenner til sine behandlinger av personopplysninger, anbefales det at oversikten også foreligger der. Kommunen hadde utarbeidet en detaljert oversikt over hvilke system kommunen hadde. Oversikten omfatter alle etater og seksjoner med oversikt over blant annet formål- kategori, behandling/type opplysning, hjemmel, unntak, konsesjon/meldeplikt, internt behandlingsansvar med flere. Dette er nærmere beskrevet i dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5. De ansatte i kommunen hadde tilgang til oversikten over hvilke behandlinger som ble gjort i deres avdeling. Oversikten hadde noe til dels upresis og feilaktig henvisning til lover og forskrifter. Dette kan for eksempel føre til at det ikke sendes melding for noe som er meldepliktig eller omvendt. Det kan også føre til at kommunen foretar ulovlige behandlinger. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Delkonklusjon: Datatilsynet anser i hovedsak oversikten over behandlinger i kommunen for tilfredsstillende. Tilsynet anser det imidlertid som nødvendig at behandlingsansvarlig tar en gjennomgang for å kvalitetssikre hjemmelsgrunnlagene og om de oppgitte behandlingene er konsesjonspliktig, meldepliktig eller unntatt fra både melde- og konsesjonsplikten. Datatilsynet anbefaler at denne kvalitetssikringen skjer i samarbeid med juridisk avdeling. 4 av 12
5.1.4 Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må generelt kartlegge de plikter i personopplysningsloven som er knyttet til behandlingene i kommunen. Denne kartleggingen vil være nødvendig for å kunne oppfylle regelverkets krav. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, retteplikt etter 27 og sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført, må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. I veilederen Internkontroll og informasjonssikkerhet er kravene til identifisering av plikter og utarbeidelse av rutiner blant annet omtalt i kapitlene 3.8 og 4. Datatilsynet fikk generelt inntrykk av at kommunen hadde et bevisst forhold til pliktene etter personopplysningsloven, men at det manglet dokumentasjon for ivaretakelse av lovens krav. På kontrollen ble i hovedsak retten til innsyn etter 18 gjennomgått. Det var ikke utarbeidet rutiner for å ivareta den allmenne retten til innsyn ( 18 første ledd) og den registrertes rett til innsyn ( 18 annet ledd). Datatilsynet ba videre om retningslinjene for publisering på Internett. Det ble redegjort muntlig for disse på tilsynet, og Datatilsynet fant rutinene for tilfredsstillende. Kommunen har imidlertid ikke utarbeidet skriftlige rutiner for publiseringen, jf. personopplysningslovens og -forskriftens krav. Delkonklusjon: Kommunen må dokumentere sine plikter etter personopplysningsloven. Kommunen må videre ha tilstrekkelig og oppdatert dokumentasjon for ivaretakelse av disse pliktene tilgjengelig for de aktuelle ansatte. Konkret plikter kommunen å etablere og bekjentgjøre for de ansatte rutiner for etterlevelse av bestemmelsen om rett til innsyn etter personopplysningslovens 18 og for publisering av personopplysninger på Internett. Kontrollen ga ikke grunnlag for å konstatere om øvrige plikter var ivaretatt, for eksempel plikten til retting, sletting og informasjon. Dersom dette ikke er tilfellet, understreker Datatilsynet at det også for disse pliktene må etableres og bekjentgjøres rutiner slik at lovens krav blir ivaretatt. 5.1.5 Konklusjon Kommunen har ikke fullstendig etablert internkontrollsystem etter personopplysningslovens 14 jf. personopplysningsforskriftens kapittel 3. Datatilsynet ser behov for at kommunen på generelt grunnlag gjennomfører en revisjon av sitt internkontrollsystem. Konkret må det etableres skriftlige rutiner for ivaretakelse av retten til innsyn etter personopplysningslovens 18 og for publisering av personopplysninger på Internett. Datatilsynet understreker dessuten at sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for de ansatte, jf. 14 annet ledd. Kommunen må følgelig etter etableringen av internkontrollsystemet 5 av 12
iverksette tiltak for å gjøre dette kjent blant de ansatte i kommunen. Dette kan for eksempel gjøres ved publisering på kommunens intranett. 5.2 Kommunens databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom utenforstående får tilgang til kommunens personopplysninger, må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Kommunen opplyste om at de hadde serviceavtaler, SLA, med ulike leverandører. Da kommunen ikke hadde disse dokumentene tilgjengelig under kontrollen, ba Datatilsynet om at disse skulle ettersendes. Datatilsynet har på tidspunktet for rapport ikke mottatt de etterspurte avtaler. Det legges derfor til grunn at det ikke foreligger tilstrekkelig databehandleravtaler jf. personopplysningslovens 15. Datatilsynet har utarbeidet en mal for inngåelse av databehandleravtaler. Denne vil innen kort tid bli lagt ut på Datatilsynets hjemmesider. 5.2.1 Konklusjon Kommunen har ikke dokumentert tilfredsstillende databehandleravtaler med sine leverandører. Mangelfulle avtaler er i strid med kravene i personopplysningslovens 15 jf. 13. 5.3 Krav om informasjonssikkerhet 5.3.1 Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 5.3.2 Krav til sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig gjennomgås for å kartlegge om den er hensiktsmessig i forhold til virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende 6 av 12
informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Datatilsynet konstaterte at kommunen hadde etablert tilfredstillende sikkerhetsorganisasjon. Assisterende rådmann var kommunens sikkerhetsansvarlig og administrativt organisert direkte underlagt rådmannen. Kommunen har videre delegert myndighet om internkontroll og informasjonssikkerhet til etatsledere. I tillegg har kommunen utnevnt systemeiere og systemansvarlige for de ulike fagsystemer. Dette er nærmere beskrevet i dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 og kap.1.3 kommunens sikkerhetsorganisasjon. Det var tilsynets oppfattning at sikkerhetsorganiseringen var kjent blant ansatte i kommunen. Dokumentasjonen var ikke tilgjengelig på kommunens intranett. Tilsynets oppfattning var at det var opprettet klare ansvarsforhold knyttet til organisering og gjennomføring av sikkerhetsarbeidet i kommunen. Tilsynet anbefaler at dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 i sin helhet gjøres tilgjengelig på kommunens intranett. 5.3.3 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Kommunen opplyste under kontrollen at de var kjent med risikovurderinger og metode for gjennomføring av dette. Spesielt for barnehagemyndighetene lå malene for gjennomføring av risikovurderinger tilgjengelig elektronisk. Datatilsynet fikk overlevert risikovurdering for systemsvikt, korrupsjon av data, serversvikt i opptakssystemet knyttet til opptak i barnehage. På tilsynet ble det også framvist en detaljert liste over hva som ble ansett som eksempler på avvik. I tilsendt dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5, er ikke risikovurderinger omtalt. Datatilsynets kontroll gav derfor grunnlag for å minne om at nevnte bestemmelse i 2-4 og understreker viktigheten av at den behandlingsansvarlig skal gjennomføre risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd både på overordnet nivå og av etater innenfor sine ansvarsområder. 7 av 12
5.3.4 Sikkerhetsrevisjoner Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang. Det fremkom av tilsendt dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 og kap. 1.5.1 sikkerhetsrevisjon, at rutinen er etablert. Kommunen erkjente imidlertid under kontrollen at det ikke forelå etterlevelse av bestemmelsene. Kravene i 2-5 kan dermed ikke anses som oppfylt. 5.3.5 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeleses resultatet. Det fremlå av tilsendt dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 og kapittel 1.4 System for behandling av avvik at rutinene er etablert. Datatilsynet ba i tilsynet om en redegjørelse knyttet til rutinen og til håndtering av avvik i kommunen. Tilsynet ble opplyst om at skjema for rapportering av avvik ikke ble brukt i særlig grad og at det er en muntlig tradisjon i kommunen - selv om telefon og e-post også ble brukt til å melde avvik. Kommunen mener selv at de har gode rutiner. I følge assisterende rådmann har de ikke sett behov for å ta i bruk skjema. Kommunen viste for øvrig til at det ble utført en skjønnsmessig vurdering av hvert enkelt avvik og hvor høyt i organisasjonen avviket skulle rapporteres. Datatilsynet anbefaler kommunen å benytte seg av de etablerere rutiner og skjema som er beskrevet i dokumentasjon, Sikring av personopplysninger i kommunen 2009 v5 og kap. 1.4 System for behandling av avvik. Tilsynet anser rutinene som tilfredstillende med hensyn til å oppfylle krav i personopplysningsforskriftens 2-6. 5.4 Spesielt om konfidensialitet, integritet og tilgjengelighet Tilgang til personopplysninger i sensitive fagsystemer i kommunes sikker sone vil gjennomgående inneholde opplysninger som må behandles spesielt. Det er blant annet av stor viktighet at det opprettes klare skriftlige rutiner for hvem som skal ha tilgang på opplysningene, knyttet opp mot et tjenestelig behov og at disse gjeving revideres. Videre ser 8 av 12
tilsynet behov for at kommunen går gjennom tilgangene til de ulike ansatte og sørger for at disse er korrekte. Datatilsynet minner om bestemmelsene i personopplysningsforskriftens 2-10 om fysisk sikring, 2-11 om konfidensialitet, 2-12 om tilgjengelighet, 2-13 om integritet og 2-14 om sikkerhetstiltak. 5.5 Internkontroll knyttet til samordnet opptak i barnehage 5.5.1 Om søknadsprosessen I 2007 ble kommunens ansvar som barnehagemyndighet og som barnehageeier skilt i to organisatoriske enheter. Eierskapet forvaltes av barnehageseksjonen, som består av seksjonsleder og to saksbehandlere. Søknad om plass i barnehage sendes kommunen innen gitte frister. Søknaden kan entes fylles ut elektronisk eller på et papirskjema, men det oppfordres til å søke over internett. Kommunen benytter seg av Lotus Notes(sak/arkiv) ved registrering av elektroniske søknader. Søkerlisten og søknadene blir synlig i de barnehagene det er søkt om plass i. Etter at plass er akseptert og registrert i systemet, sendes det ut en kontrakt til foresatte. Administrasjonen sitter med en liste over de som ikke har fått tilbud om en av de to høyeste prioriterte barnehagene. Listen blir blant annet benyttet ved eventuelle klager. For øvrig har IT-avdelingen, barnehagemyndigheten, seksjon barnehage og de aktuelle barnehagene tilgang til den enkelte søknad. Kommunen journalfører ikke barnehagesøknadene. Etter en evaluering i fjor ønsker kommunen å utarbeide et nytt søknadsskjema. Dette skal etter planen implementeres i løpet av høsten. Barnehagemyndigheten gjennomførte tilsyn i barnehagene. I den sammenheng hadde barnehagemyndigheten utarbeidet en egenerklæring som skulle fulles ut i forkant av tilsynet. Enkelte av temaene har relevans for etterfølgelse av personopplysningslovens krav. Dette gjelder for eksempel spørsmål 6.8 og 6.9 om det er utarbeidet rutiner for innhenting av henholdsvis politiattest og taushetserklæring for nytilsatte. Videre ble det bedt om tilbakemelding på om barnehagen følger rutinene for å gi opplysninger til kommunen om kontantstøtte og om barnehagen har arkiv for personopplysninger over barn i barnehagen. Dersom sistnevnte var tilfellet, ble det bedt om en beskrivelse av innhold samt rutiner knyttet til arkivering, innsyn og makulering. Det ble dessuten spurt om barnehagen har et innarbeidet internkontrollsystem som blant annet skal sørge for at personopplysningsloven blir ivaretatt. 5.5.2 Innholdet i søknadsskjemaet Det ble bedt om de samme opplysningene ved søknad på papir eller elektronisk søknad. I søknadsskjemaet bes det om følgende opplysninger: Barnets personalia: Barnets navn, adresse, fødselsnummer, morsmål og kjønn. 9 av 12
Om barnehagen mv: Barnehagen(e) det søkes på, ønsket oppholdstid i angivelse av antall ukedager. Foresatte 1 og 2: Navn, adresse, telefon (privat/arbeid/mobil), fødselsnummer og e- postadresse. Andre opplysninger: Mulighet for avkrysning for - barn med prioritet til opptak - barn med minoritetsspråklig bakgrunn - barn med anbefalt opptak Søsken: Om barnet har søsken med plass i barnehage, navn, om det søkes for søsken, søskens barnehage og ønsket barnehage. Annen informasjon: Fritekstfelt. Det opplyses om at det ikke bør sendes sensitiv informasjon i søknaden. 5.5.2.1 Datatilsynets vurdering og delkonklusjon I henhold til personopplysningslovens 11 første ledd d) skal det kun bes om relevante personopplysninger. Dette innebærer at opplysningene det bes om må være nødvendige for å vurdere om barnet skal gis plass eller ikke og eventuelt hvilken barnehage barnet gis plass i og hvilken oppholdstid barnet skal få. Kommunen må gjennomgå søknadsskjemat med tanke på hvilke personopplysninger som er nødvendig i opptaksprosessen. Alle opplysningene som kommunen ber om må være relevante. For bruk av fødselsnummer stilles det ytterligere krav i personopplysningslovens 12: Fødselsnummer skal bare benyttes når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Dette innebærer at barnets fødselsnummer neppe kan innhentes for barn over kontantstøttealder. Opplysninger som ikke er nødvendig i opptaksprosessen, men som er nødvendig for tilrettelegging og oppfølging av barnet i barnehagen, bør som hovedregel ikke innhentes i opptaksprosessen. En slik etterfølgende innhenting vil også begrense muligheten for at andre enn dem som har behov for opplysningene får tilgang til disse. For å få prioritert plass må det opplyses om enkelte sensitive og taushetsbelagte opplysninger. Slik søknadsskjemaet er utformet fremkommer det imidlertid ikke om prioritet skyldes funksjonshemming eller vedtak etter barnevernloven. Innhenting av disse opplysningene gjør at skjemaet ligger i grensesonen for at det må iverksettes særskilte sikkerhetstiltak. Etter Datatilsynets vurdering vil det trolig være tilstrekkelig at det kun gis mulighet for å krysse av på om det finnes andre opplysninger eller ikke, og at det fremkommer av ettersendte vedlegg hvilket forhold det vises til (barn med prioritet til opptak, minoritetsspråklig bakgrunn eller anbefalt opptak). 10 av 12
Bruk av fritekstfelt kan lett føre til at kommunen samler inn personopplysninger som ikke er relevante. Dette vil særlig være tilfellet der det ikke spesifiseres nærmere hva kommunen ønsker i feltet. Datatilsynet viser til at selv om kommunen har full barnehagedekning vil trolig foresatte lett komme til å informere om irrelevante forhold for å maksimere sjansene for å få tildelt en bestemt barnehageplass. Det å legge til rette for en slik løsning vil lett komme i konflikt med personopplysningslovens 11 om relevans. Bruken av fritekstfelt også kan komme i konflikt med personopplysningslovens sikkerhetsbestemmelser. Selv om det opplyses om at det ikke skal oppgis sensitiv informasjon, innformerers det ikke nærmere om hva som ligger i dette. Videre gis det ingen informasjon om at også taushetsbelagte opplysninger krever egne sikkerhetstiltak. Hva som er taushetsbelagt og hva som er sensitivt vil ofte men ikke alltid være sammenfallende. En løsning med åpne felt vil følgelig lett kunne føre til at sensitive og taushetsbelagte personopplysninger kan bli sendt uten tilstrekkelig sikkerhet. En slik oversendelse vil være i strid med personopplysningsforskriftens 2-11 om sikring av konfidensialitet og eforvaltningsforskriftens 5, første ledd. Datatilsynet siterer fra sistnevnte bestemmelse: Når et forvaltningsorgan legger til rette for bruk av elektronisk kommunikasjon for mottak av opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt, eller som kan være underlagt krav til sikring etter reglene om behandling av personopplysninger eller tilsvarende regler, skal risiko for uberettiget innsyn i opplysningene være forebygget på tilfredsstillende måte. Datatilsynet understreker imidlertid at sikkerhet av løsningen ikke var tema på kontrollen, og tilsynet begrenser seg følgelig til å påpeke at kommunen må undersøke dette punktet nærmere. 5.5.3 Tilgangsstyring Barnehagemyndigheten og seksjon barnehage hadde i tillegg til styrerne i de aktuelle barnehagene tilgang til barnehagesøknadene. Vedlegg med sensitive personopplysninger ble oppbevart i låsbart skap hos barnehagemyndighetene. Det var kun denne enheten som hadde tilgang til disse. Vedleggene ble ikke scannet. Delkonklusjon: Gitt at organiseringen av kommunens ansvar som barnehagemyndighet og som barnehageeier er skilt i to organisatoriske enheter samt kommunens organisering av opptaksprosessen anser Datatilsynet tilgangsstyringen til søkerne til barnehage som tilfredsstillende. 5.5.4 Sletting Opplysninger som ikke lenger er nødvendig etter sitt formål skal slettes, jf. personopplysningslovens 28. Kommunen har i motsetning til andre kommuner ikke ansett søknadene med vedlegg for arkiveringspliktige. Opplysningene må følgelig slettes etter personopplysningslovens 28 når de ikke lengre er nødvendig. Kommunen har ikke slettet noen opplysninger fra sitt elektroniske system så lenge dette har vært i bruk i to til tre år. 11 av 12
Kommunen har ettersendt rutiner for sletting av barnehagesøknader mv. Søknadsskjema fra barn født 1., 11 og 21 oppbevares i forhold til statistikk og blir levert til Skole- og barnehagekontoret. Andre barn som slutter får med seg de offisielle papirene. Der barn blir overført til ny barnehage følger disse papirene med. Enkelte opplysninger slik som lister over barnegruppene med navn, adresse, fødselsdato og plasstørrelse samt dagbøker med oppmøte og fravær arkiveres. For barn der det har vært et samarbeid med andre instanser mv. ser kommunen behovet for å utarbeide felles rutiner for hva som skal slettes og hva som skal oppbevares. Slik Datatilsynet leser henvendelsen er rutinene ikke skriftlig nedfelt. Sletting av papirbaserte søknader ble ikke berørt på kontrollen. Delkonklusjon: Rutinene for sletting og oppbevaring av barnehagesøknader må nedfelles skriftlig. Skriftlige rutiner bør minimum inneholde informasjon om når sletting skal foretas og hvem som har ansvaret for dette. Kommunen må deretter slette informasjon (elektronisk og papirbasert) i henhold til rutinene. Personopplysninger som oppbevares for statistiske formål må anonymiseres når det ikke lenger er nødvendig å ha disse personidentifiserbare. 5.5.5 Konklusjon Kommunen må vurdere hvilke opplysninger de har behov for i opptaksprosessen og tilpasse søknadsskjemaet til dette. Det må foretas en risikovurdering av sannsynligheten for å få inn irrelevant informasjon dersom kommunen ønsker å beholde åpne felt. Sletterutinene må nedfelles skriftlig. 5.6 Avslutning Vedtak som følge av kontrollen følger i brev. 12 av 12