Svar på spørsmål fra Kontroll- og konstitusjonskorniteen vedrørende varsling om manglende sikkerhet i regjeringens datasystemers



Like dokumenter
Varslingsrutiner ved HiST

Varsling.

VARSLINGSRUTINER VED HØGSKOLEN I FINNMARK

Retningslinjer for LYN Fotball Varslingsordning

VARSLINGSREGLEMENT SAUHERAD KOMMUNE

RUTINE FOR EKSTERN VARSLING AV KRITIKKVERDIGE FORHOLD

PROSEDYRE FOR HÅNDTERING AV VARSEL OM KRITIKKVERDIGE FORHOLD

Varsling til offentlige myndigheter Guide: Veiledning til varslere

Retningslinjer for varsling av kritikkverdige forhold

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Varsling.

Varslingsrutine i NOAH AS

RUTINER OG SKJEMA FOR VARSLING OM KRITIKKVERDIGE FORHOLD

Rutine for varsling av kritikkverdige forhold

Varsling.

Rutiner for intern varsling ved Vea Statens fagskole for gartnere og blomsterdekoratører

Forslag til endringer i arbeidsmiljølovens bestemmelser om varsling - Høring Vi viser til brev av 20. juni 2016 med vedlegg om ovennevnte.

KOG-DIR-0005 Direktiv for oppfølging av varsling RevB 01AUG2011.doc

Rutiner for intern varsling i Nordre Land kommune

Håndtering av varslinger og kritikkverdig informasjon. FKTs sekretariatskonferanse 20. mars 2018

Rutiner for varsling i SD

arsling Retningslinjer for Karmøy kommune

RUTINER FOR INTERN VARSLING AV KRITIKKVERDIGE FORHOLD. Vedtatt av styret

Revidering av rutinen for varsling og saksbehandling av varslingssaker

Varsling i Ringebu kommune

Varslingsordning for brukere, leverandører og ansatte

Avsluttende brev innsyn i næringsministerens Outlook-kalender og oppfølging av ombudsmannens uttalelse

RETNINGSLINJER OG RUTINER

Klage på delvis avslag på begjæring om innsyn - Konkurransetilsynets sak 2003/255

Varsling- veileder for deg som ønsker å varsle

Varslingsordning for brukere, leverandører og ansatte

Varslingsveileder for Norsk Gjenvinning-konsernet

Varsling av kritikkverdige forhold

overlege Jan Størmer, UNN Tromsø ad. oppfølging av sak sist sak /1 og sak /8

Dato: Arbeidsmiljøutvalg Kommunestyret VEDTAK:

Gjelder fra:

[ ] RUTINER FOR VARSLING PERSONAL. Storfjord kommune

HØRING - RETNINGSLINJER FOR VARSLINGSRUTINER I STATSTJENESTEN

Rutiner for varsling om kritikkverdige forhold i Sjømannskirken

Verktøy for tillitsvalgte. Varslerveileder

Retningslinjer for intern varsling av kritikkverdige forhold i Nesodden kommune

2. Arbeidstakers rett til å varsle Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

INTERPELLASJON TIL KOMMUNESTYRETS MØTE 24. JANUAR 2007.

KONTROLLUTVALGET I HEMSDAL KOMMUNE MØTEINNKALLING SAKLISTE

RETNINGSLINJER FOR VARSLING I TROMS FYLKESKOMMUNE

Rutiner for varsling av kritikkverdige forhold

Annonymisert utgave av uttalelse om aldersdiskriminering

Varslingsrutine 5. juni 2019

- 16- CAS Sakens bakgrunn Saken er brakt inn for ombudet av D på vegne av medlemmet A ved e-post av 5. september 2011.

VedrørendestatstilskuddNITH,Westerdalsog NISS

Arbeidsmiljølovens regler gir arbeidstakere rett til å varsle om kritikkverdige forhold i egen virksomhet:

3 Avklaring om det foreligger varsel om kritikkverdige forhold

Varsling etter Arbeidsmiljøloven og retningslinjer for. Sør-Trøndelag fylkeskommune

Tilsynsutvalget for dommere har i møte den 21. januar 2015 truffet vedtak i

Svar på høring - Forslag til endringer i arbeidsmiljølovens bestemmelser om varsling

OVERSENDELSE OLJE- OG ENERGIDEPARTEMENTETS SAKSBEHANDLING OG OPPTREDEN VED VALG AV MODELL FOR INNSAMLING AV SEISMISKE DATA I BARENTSHAVET SØRØST

ARBEIDSMILJØLOVENS OM VERN AV VARSLERE

Varslingsveileder for Norsk Gjenvinning-konsernet

SAK 81/18 STATUS I SAKEN OM MOTTATT HENVENDELSE TIL KONTROLLUTVALGET (VARSLERSAK) OPPSUMMERING.

Innhold. 4 Hva sier loven? 5 Hva er varsling? 6 Retten til å varsle internt. 7 Varslingsrutine. 9 Varslingsplakaten

Retningslinjer for varsling

Høringssvar: Forslag til forskrift om Norsk helsearkiv og Helsearkivregisteret

Rutiner ved Varsling innad i. Fuglehundklubbenes Forbund med tilhørende klubber.

Varsling. Sikkerhetsforum 8.februar 2018 PTIL/PSA

VEILEDNING FOR VARSLERE OG VARSLINGSMOTTAKERE

Vedlegg til rutine for varsling mottak, behandling og oppfølging av varsel

Retningslinjer for varsling

Styre/råd/utvalg: Møtested: Dato: Tid: ARBEIDSMILJØUTVALG Lekatun

Veileder om hvordan kommuner og skoler systematisk kan håndtere situasjonen der barn ikke møter i grunnskolen

Rådgiver Kjell Nordengen (Forfall må meldes så snart som mulig til tlf , ev.

Høringssvar - Forslag til ny pasientjournallov og ny helseregisterlov

Ptils rolle og erfaring med varslingssaker

Endringer i arbeidsreglementet ytringsfrihet og varsling

MOTTATT 04 OKT 1010 ARBE1DSDEPARTEMENTET. Arbeidsdepartementet Arbeidsmiljø- og sikkerhetsavdelingen Postboks 8019 Dep Oslo

2013/2810 m.fl. 13/

12/ A mente seg diskriminert av B skole ved at skolen informerte Nav om at familien var reist utenlands eller flyttet ut av landet.

VARSLING case fra Flyktningtjenesten

Rutine for intern varsling i Kvinesdal kommune

DET KONGELIGE FORNYINGS-, ADM/NISTRASJONS- OG KIRKEDEPARTEMENT. Statsråden

Varsling - status. Akademiker-foreningenes felles tillitsvalgtkurs januar 2018

Sivilombudsmannen mottar jevnlig klager som gjelder offentlig ansattes ytringsfrihet. Temaet har blitt omtalt i flere av ombudsmannens årsmeldinger.

Oslo 3. november 2008

Deres ref. Vår ref. Dato B-1nvs NVS/thc 2003/244 ME/ME2 LaB:elt P4 RADIO HELE NORGE AS - BEGJÆRING OM INNSYN I INTERNE DOKUMENTER

Vår referanse (bes oppgitt ved svar)

Varsling Verdier - Vern

OPPSUMMERINGSNOTAT. Morten Lange-Ree, adm. direktør Sykehuset Innlandet. Arbeidsgiverforeningen Spekter og Legeforeningen. Dato: 21.

Hva gjør du når du får et varsel om kritikkverdige forhold på bordet?

Rutiner for varsling Longyearbyen lokalstyre Vedtatt i partssammensatt AU

Retningslinjer for varsling Vedtatt i administrasjonsutvalget

Anmodning om tolkningsuttalelse i forhold til barnevernloven 4-2 og 4-3

FS ønsket at Etisk Råd skulle informeres om saken herunder FS behandling.

DET KONGELIGE OG POLITIDEPARTEMENT. Vår ref U A/TJU. Høring - forslag til nye regler om ansattes ytringsfrihet/varsling

Instruks Internrevisjonen for Pasientreiser ANS. Fastsatt av styret for Pasientreiser ANS,

Hvorfor er dette viktig?

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Rutine: Rutine for varsling og oppfølging av mobbing og trakassering.

Sammendrag av sak 12/ / Saksnummer: 12/1093. Lovgrunnlag: Likestillingsloven 3 jf. 16 Dato for uttalelse:

Varsling og håndtering av kritikkverdige forhold - #metoo

Varsling om kritikkverdige forhold i rettssubjektet Den norske kirke

Prosedyrer for varsling i HLF.

Transkript:

11.JPM.U11 MUD +4( 4(116 FAI) +47 22242710 NK.1 5./( DET KONGELIGE FORNYINGS., ADMINISTRASIONS- OG KIRKEDEPARTEMENT Statsråden Stortingets kontroll- og konstitusjonskomite Stortinget 0026 OSLO Deres ref. Vår ref kgj/2010 10/4484- Dato tc.ôi 1 1 Svar på spørsmål fra Kontroll- og konstitusjonskorniteen vedrørende varsling om manglende sikkerhet i regjeringens datasystemers Jeg viser til brev fra Kontroll og konstitusjonskoneen av 14. desember 2010 om ovennevnte sak, Spørsmål Hva har departementet gjort for â bedre IKT-sikkerlzeten i DSS og for å følge opp innholdet i varslet? Da Departementenes servicesenter (DSS) rapporterte om sikkerhetsutfordringer omkring årsskiftet 2007/2008 ba Fornyings-, ariministrasjons- og kirkedepartementet (FAD) umiddelbart DSS om en plan for gjennomføring av tiltak på både kort og lang sikt. P1anen dannet grunnlaget for forslag om ekstraordinær beviigning som ble fremmet våren 2008 i forbindelse med revidert nasjonalbudsjett. Som nevnti mitt brev til komiteen av 30. november 2010, er det uheldig at det tok lengre tid enn forutsatt å få gjennomført disse investeringene. I oktober 2009 tok departementet initiativ til et forprosjekt med bistand fra en ekstern konsulent (WatchcomSecuribi Group) for å få en vurdering av sikkerhetsnivået i Depnett/U. Hensikten var å få en oversild over sikkerhetstistanden i det ugraderte nettet for 13 departementer, som grunnlag for eventuelle videre oppfølgingstiltak. Den endelige rapporten fra forprosjektet forelå 9, mars 2010. Riksrevisjonens foreløpige Postadresse: Postboks 8004 Dep, 0030 Oslo Kontoradresse: Akgrsg. 59 Telefon: 22244600 Telefaks; 22242710 Org, nr.: 972 417 785

11.JAN.2ø11 lø:øø MOD +47 22242710 FAO +47 22242710 NR.257 S.3/7 rapport ble sendt departementet 28. april 2010. Watchcom-rapporten viste det samme helhetsbildet som senere ble påpekt av Riksrevisjonen i deres foreløpige rapport til DSS av 26. april 2010. Riksrevisionens rapport var mer detaljert og utdypende enn konsulentens forprosjekt. I den videre oppfølging av DSS la FAD Riksrevisjonens foreløpige rapport til grunn, DSS ble i mai 2010 bedt om å utarbeide en oppfølgingsplan for innføring av et StyringsSystem for Informasjans-Sikkerhet(SSIS). FAD har inngått avtale med en ekstern konsulent (Ernst & Young) som skai kvalitetssikre DSS sin handlingsplan og gjennomføringen av den, Konsulenten er også bedt om å vurdere om det er andre forhold av betydning for informasjonssikkerheten som eventuelt ildce ligger i handlingsplanen. Det dreier seg altså ikke bare om et prosjekt som skal følge opp Riksrevisjonens påpekinger, men en grundig gjennomgang av det systematiske IKT-siklierhetsarbeidet i DSS, jeg har sett det nødvendig også å gjennomffire en uavhengig undersøkelse av den tekniske sikkerhetstilstanden i Depnett/U. Jeg ba derfor den 22.oktober 2010 NSM om å teste robustheten i nettet mot ondsinnet inntrenging. Rapporten fra NSM ble mottatt i FAD 22. desember 2010. NSM har påvist sårbarheter i Depnett-TJ. DSS er allerede pålagt å gjennomføre dltak for å styrke sikkerheten. Rapporten vil bli fulgt opp av departementet og vil være et sentralt grunnlag for kvalitetssikring av informasjonssikkerheteni DSS og for vurdering av ytterligere tiltak Fungerende departementsråd i FAD ble innkalt til et møte på Statsministerens kontor (SMK) 23, juni 2010. På møtet ble det av en ansatt i DSS og dennes advokat lagt fram muntlig informasjon om datasikkerheten i DSS, og det ble også overlevert et tosiders notat med faktainformasjon. Notatet var verken påført avsender eller adressat. I tillegg til utfordringene for sikkerhetsnivået, som også er tatt opp av Riksrevisjonen, påpeker varsleren forhold som berører ansvarsfordeling, sikkerhetskultur og kompetanse i forbindelse med forvaltningen av Depnett/U. Departementet har innhentet opplysninger fra ansatte i DSS som understøtter varslerens anførsler om sikkerhetskulturen og manglende systematikk i DSS sin ivaretaking av informasjonssikkerheten. Det tyder på- at sikkerhetsarbeidet i DSS har blitt nedprioritert på bekostning av tjenesteproduksjonen og framdriften i innfasingen av de 13 departementene på felles driftsplattform. Sikkerhetskultur, internkontroll og systematisk videreutvikling av sikkerheten i tråd med risikobildet for et ugradert nett, er forhold som vil bli fulgt opp i ovennevnte kvalitetssfiwing. I den forbindelse vil også forhold varsleren har tatt opp, være en del av vurderingsgrunnlaget. Disse forholdene arbeides det nå videre med i departementet, også de forhold varsleren påpeker. Det er bl.a, nødvendig å se nærmere på både ansvarsforhold og organiseringen av sikkerhetsarbeidet. Side 2

11.JAN.2Ø11 1(3:0121 MOD +47 222427113 FAD +47 22242710 NR.257 5.4/7 Spørsrnål 2 Mener statsrciden at departementet har behandlet varslersaken i samsvar rned varslerens ønske om anonymitet? En advokat tok 21, juni 2010 kontald med Statsministerens kontor på vegne av en person som ønsket et møte for å overbringe informasjon som gjaldt departementenes datasikkerhet, herunder de datasystemer som leveres av DSS. SMK la til rette for at det to dager etter, 23. juni 2010, fant sted et første møte om saken. Møtet fant sted på SMK og med deltakelse fra FAD, som ansvarlig departement for DSS. På møtet deltok varsleren og dennes advokat, embetsverk ved SMK og fungerende departementsråd FAD. Varsleren ba om anonymitet og full beskyttelse som varsler, selv om identiteten var kjent for møtedeltakerne. I møtet ble det avklart at FAD som overordnet departement ville gå gjennom den informasjonen som hadde blitt framiagt og komme tilbake til den ansatte i DSS når det gjaldt den videre oppfølging. Det framkom ingen innvendinger til denne behandlingsmåten fra varsleren eller dennes advokat Fimgerende departementsråd i FAD så clilemmaet som ligger i behovet for å undersøke innholdet i et varsel, samtidig som varslerens identitet skal holdes skjult. IKT-sikkerhet er et sentralt antiggende for FAD, og påstander av den karakter som varsleren tok opp, var det viktig å få undersøkt nærmere. Etter fungerende departementsråds oppfattting ville det være vanskelig å foreta en tilfredsstillende undersøkelse av varslerens påstander uten at DSS' ledelse ble forelagt den informasjonen varsleren hadde lagt fram. Det ble altså vurdert som nødvendig for FAD å konfrontere direktøren i DSS med påstandene om sikkerhetsnivået i Depnett/U. DSS sin direktør fikk ikke informasjon om varslerens identitet, og det ble tydelig presisert overfor direktøren at varsleren ønsket å være anonym, og at dette var et ønske som alle involverte måtte respektere. Fungerende departementsråd informerte varslerens advokat om at notatet ble levert direktøren i DSS på disse betingelser. Varslerens advokat opplyste 12. juli 2010 på telefon til fungerende departementsråd i FAD at varsleren hadde utarheidet en redegjørelse som beskrev hvordan varsleren hadde tatt opp sin bekymring internt i DSS. Advokaten stilte som betingelse for å oversende redegjørelsen til FAD at denne ikke ble gitt videre, Fungerende departementsråd svarte at hvis han ikke kunne framlegge rededørelsen for DSS, ville departementet ikke kanne undersøke innholdet i varslerens påpekinger, og de som eventuelt var omtalt, ville ikke kunne legge fram sin versjon av saken. Fungerende departementsråd forstod behovet for å dekke varslerens identitet, og mente han på advokatens premisser ikke kunne bruke redegjørelsen til å oppklare saken. Redegjørelsen ble derfor ikke overlevert fungerende departementsråd. Side 3

11.JRN.2ø11 1Ø:Ø1 MOD +47 2224271ø FAD +47 22242710 å NR.57 5.5/Y Etter at den faste departementsråden i FAD var tilbake, ble det avtalt møte mellom henne, varsleren og varslerens advokat. Møtet ble hoidt 27. oktober 2010. Varsleren var forhindret fra å møte av private årsaker. Departementsråden redegjorde for det arbeidet som var gjort med varslingssaken og utttykte at det på flere områder hadde vært vanskelig å etablere fakta. Advokaten trakk fram eksempler fra den redegjørelsen som FAD ikke hadde. Han ønsket ikke å overlevere den av hensyn til varslerens identitet. Det ble avtalt at advokaten skulle snakke med varsleren om hvorvidt opplysningene kunne gis i en form som ikke avslørte varslerens identitet. I e-post av 4. november 2010 fra departementsråden til varslerens advokat ble det gjentatt at departementsråden var innstilt på å lytte til varsleren. Varslerens advokat meldte i e-post av 14. november 2010 lii departementråden at varsleren anså det for nytteløst å forfølge saken videre overfor FAD. Jeg ba departementsråden om å prøve på nytt å få varsleren i tale for eventuelt muntlig å få utdypet vedkommendes bekylnrm* gsmelding. Departementsråden gjentok i e-post av 15. november 2010 tilbudet om å lytte til varsleren. FAD gjennomførte etter dette også nye samtaler med personer i DSS for å prøve å få ytterligere klarhet i om det hadde vært reist spørsmål om IT-sikkerheten internt i DSS, Samtalene underbygget inntrykket av mangelfuli sikkerhetskultm- og manglende systematikk i DSS sin ivaretaking av informasjonssikkerheten. I en henvendelse av 26. november 2010 fra departementsråden i FAD ti1 varslerens advokat har jeg også tilbudt varsleren å møte meg. Jeg konstaterer at varsleren mener seg utlevert i DSS. 2. november 2010 ble FAD, via kopi av en epost fra NSM hvor NSM ga en journalist innsyn i flere dokumenter i en lilsynssak, oppmerksom på at direktøren i DSS i juli 2010 hadde reist en diskusjon med NSM om intervjuplan og informanter. Dette skjedde i forbindelse med et tilsyn etter Sikkerhetsloven. I en epost av 14. november til departementsråden i FAD bekreftet vars1erens advokat formelt at diskusjonen mellom NSM og DSS konkret gjaldt varsleren. Departementet innkalte direktøren i DSS til et møte 22,november og påpekte overfor ham at det var uheldig å forsøke å holde en sentral informant borte fra en filsynsmyndighets informasjonsinnhenting, og at dette følgelig ikke skulle ha skjedd. I og med at denne informanten og varsleren viste seg å være samme person, kan varsleren ha oppfattet dette som gjengieldelse. I henhold til Arbeidsmiljøloven skal en ikke utsette en som har varslet på nitig måte, for gjengjeldelse. Direktøren for DSS trakk seg fra sin stilling 7,desember 2010. FAD bad deretter konstituert direktør i DSS undersøke om varsleren har blitt fratatt arbeidsoppgaverpå grunn av varslingssaken. Gjennomgangen i DSS har ikke kunnet sannsynliggjøre at arbeidsgivers ønske om å unnta varsleren fra intervju med NSM ble bygget på saklige hensyn. Med unntak av dette er konklusjonen fra gjennomgangen at varsleren ikke er fratatt arbeidsoppgaver. Side 4

11.JRN.2011 lø:ø1 MOD +47 427113 FAD 1-4722242710 NR.57 b.b/( Sporsmål 3 Hvilke tiltak blir iverksatt for å sikre at staten har et bedre system for dem som tar belastningen ved d varsle? Retten til å varsle om kritikkverdige forhold i virksomheten er fastslått i Arbeidsmiljøloven. Her er det også utvetydig fastslått at gjenglieldelse mot arbeidstaker som varsler i samsvar med Arbeidsmiljølovens regler, ikke er tillatt. Etter 3-6 i Arbeidsmiljøloven plikter arbeidsgiver å legge forholdene til rette for varsling i sin egen virksomhet I september 2007 frennnet det daværende Fornyings- og administrasjonsdepartementet "Retningslinjer for utarbeidelse av lokale varslingsrutiner i staten" Dette er retningslinjer som den enkelte statlige arbeidsgiver skal legge til grunn for sitt arbeid med å tilrettelegge for varsling i egen virksomhet Disse sentrale, statlige retifingslinjene bygger på Arbeidstilsynets veileder om varsling om kritikkverdige forhold på arbeldsplassen, Arbeidstilsynets veileder er ikke i seg selv et eget regelverk, men presiseringer av hvilke hensyn loven skal ivareta og anbefalinger til arbeidsgivere om hvordan de skal innrette seg for å ivareta disse hensynene. Behovet for egne statlige retningslinjer skyldes bl,a. at statlige virksomheter må forholde seg til offentlighetsioven og forvaliningsloven, også i varslersaker. Arbeids- og inkluderingsdepartementet og Arbeidsillsynet har bekreftet at retningslinjene er i tråd med Arbeidstilsynets generelle retningslinjer. FADs retningslinjer har omfattende beskrivelser av hvordan varslingsrutinene bør legges opp, slik at den enkelte arbeidstaker kan varsle på en trygg måte, Det er også laget saksbehandlingsregler som mottakeren av varselet skal følge for å ivareta hensynet Iii at varslerens identitet blir behandlet konfidensielt, dersom identiteten er kjent for den som mottar varselet. Det er også beskrevet saksbehandlingsregler for å ivareta hensynene til taushetsplikt om eventuelle personlige forhold, arbeidsgivers ansvar for å forhindre gjengjeldelse, hvordan man skal håndtere hensynene til den/de det blir varslet om, tilbakemeldingtil varsleren om hva som b/e resultatet av varslingen og hvordan man skal behandle personopplysninger som måtte fremkomme under vars- I retningslinjene har FAD satt som en forutsetning at hver enkelt statlig virksomhet utarbeider egne rutiner for varsling, basert på virksomhetens behov og egenart. FAD har utarbeidet slike vaxslingsrutiner for sin egen del og det har også DSS. Det som blir avgjørende for om varsleren i en konkret sak er tilstrekkelig vernet, er om gjeldende regelverk og rutiner følges, Side 5

11.JAN.2ø11 10:02 MOD +47 22242710 FAD +47 22242710 NR.257 5.7/7 Som det tidligere er opplyst i Stortinget, er det besluttet at Arbeidsdepartementet skal foreta en gjennomgang av gjeldende varslingsregelverk i arbeidsmiljaloven. I den forbindelse vil FAD gjennomgå statens retningslinjer for varsling, Varsel om kritikkverclige forhold stiller en virksomhet overfor mange vanskelige avveininger og dilemxnaer. FAD vil ta initiativ til at kunnskap om og holdninger til - varsling, etikk og etiske dilemmaer blir styrket i statsforvaltningen gjennom lederopplæring og i seminarer og konferanser for statens embets- og tjenestemenn. Med blisen ke<rr- " or Aasrud Side 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding