Endelig kontrollrapport

Like dokumenter
Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Endelig kontrollrapport

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Internkontroll og informasjonssikkerhet lover og standarder

Endelig kontrollrapport

Kommunens Internkontroll

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Retningslinjer for databehandleravtaler

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Endelig kontrollrapport

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtaler

Bilag 14 Databehandleravtale

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Endelig kontrollrapport

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

VIRKE. 12. mars 2015

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Foreløpig kontrollrapport

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vår referanse (bes oppgitt ved svar)

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Hendelsen ble oppdaget av SVs IT-leverandør, Unicornis. Serveren for medlemsregisteret befinner seg i et hostingsenter.

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Transkript:

Saksnummer: 12/00319 Dato for kontroll: 02.05.2012 Rapportdato: 10.12.2012 Endelig kontrollrapport Kontrollobjekt: Sosialistisk Venstreparti Sted: Akersgata 35, Oslo Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Sosialistisk Venstreparti 2. mai 2012. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Kristin Benestad, organisasjonssekretær - Dag Olav Sæther, administrasjons- og organisasjonsleder - Eirik Randsborg Lie, IT-ansvarlig Partisekretær Silje Schei Tveitdal var ikke tilstede pga. sykdom. 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør (jurist), Tilsyns- og sikkerhetsavdelingen - Lars-Otto Nymoen, overingeniør, Tilsyns- og sikkerhetsavdelingen - Helge Veum, avdelingsdirektør, Tilsyns- og sikkerhetsavdelingen 3 Generelt Partikontoret leder Sosialistisk Venstrepartis administrative og organisatoriske funksjoner, med partisekretæren som leder. Funksjonen som partisekretær er valgt inn i organisasjonen. Partiet er organisert med fylkeslag (alle fylker) og har ca. 340 lokallag derunder. 1 av 11

1 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 23. mars 2012 om at Sosialistisk Venstreparti oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriftens kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriftens 2-4, f) avviksrutiner, jf. personopplysningsforskriftens 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. En detaljert agenda ble oversendt virksomheten før kontrollen. 2 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av Sosialistisk Venstrepartis plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Å være medlem i et politisk parti vil være en opplysning av følsom (sensitiv) karakter. Det er lite tvilsomt at dersom en organisasjon anses å være politisk, vil medlemskap uten videre måtte anses for å gi uttrykk for en politisk oppfatning. Det vises til personopplysningsloven 2 nr. 8 a). Under kontrollen ble Sosialistisk Venstrepartis internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde spesielt fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 3 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 3.1 Internkontroll 3.1.1 Generelt om personopplysningslovens 14 Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. 2 av 11

Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak Sosialistisk Venstreparti hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 3.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningslovens 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriftens 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel 6.2. Faktiske forhold Det ble opplyst at partisekretæren er å anse som behandlingsansvarlig. Behandlingsansvaret omfatter også behandling av medlemsopplysninger i fylkeslag og lokallag. Sentralstyret er arbeidsgiver for alle på partikontoret, men har delegert personalansvaret, oppgavene og myndigheten til partisekretæren. Partisekretæren har hovedansvaret for at arbeidet med informasjonssikkerheten blir ivaretatt på en forsvarlig måte. Partisekretær er overordnet arbeidsgiver for alle medarbeidere på partikontoret. Partisekretæren har delegert oppgavene i forbindelse med informasjonssikkerheten til administrasjons-/organisasjonsleder som er sikkerhetsansvarlig. Organisasjonskonsulenten har operativt ansvar for medlemsregisteret. IT-ansvarlig har operativt ansvar for IT-sikkerheten. Dette framgår av tilsendt dokumentasjon, vedlegg 1b. Dette var også gjort kjent i organisasjonen. Delkonklusjon Ikke noe avvik. 3 av 11

3.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må Sosialistisk Venstreparti ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningslovens 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriftens 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningslovens 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold Sosialistisk Venstreparti har ikke utferdiget noen oversikt over hvilke personopplysninger som behandles. Partiet har heller ikke redegjort med hvilket hjemmelgrunnlag medlemsregisteret er opprettet. Det vil være naturlig at dette synliggjøres i oversikten over hvilke personopplysninger som behandles, se personopplysningsloven 8 og 9. Det ble opplyst at i tillegg til medlemsregisteret hadde Sosialistisk Venstrepart et ansatteregister. Det var også et adgangskontrollsystem som var administrert av Storebrand, og behandlinger av økonomiske gaver som ble innrapportert til Statistisk sentralbyrå med hjemmel i partiloven. Datatilsynet understreker at det innenfor hvert system kan være flere typer behandlinger og at oversikten danner grunnlag for fastsetting av kriterier for akseptabel risiko med behandlingen av personopplysningene. Risikovurderinger skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Delkonklusjon Manglende oversikt over hvilke personopplysninger som behandles, og deres behandlingsgrunnlag er et avvik fra personopplysningslovens 14 og 13 jf. forskriftens 2-4 første ledd. 3.1.4 Øvrige plikter etter personopplysningslovens 14 jf. personopplysningsforskriftens 3-1 Behandlingsansvarlige må i henhold til personopplysningslovens 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over 4 av 11

plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 3.1.4.1 Rett til innsyn Regelverkets krav Det følger av personopplysningsloven 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. Faktiske forhold: Rutiner for å sikre innsyn og informasjon til den registrerte er ikke utferdiget. Det ble påpekt at informasjon til den registrerte kunne gis gjennom utferdigelse av personvernpolicy på partiets hjemmeside, og at dette ville være tilfredsstillende etter regelverket. Delkonklusjon Manglende dokumenterte rutiner for å sikre innsyn til den registrerte er å regne som et avvik fra personopplysningsforskriftens 3-1 bokstav d) 3.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv Regelverkets krav Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Virksomheten skal etter personopplysningsloven 3-1, tredje ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. 5 av 11

Faktiske forhold Rutiner for å sikre informasjon til den registrerte er ikke utferdiget. Det ble påpekt at informasjon til den registrerte kunne gis gjennom utferdigelse av personvernpolicy på partiets hjemmeside, og at dette ville være tilfredsstillende etter regelverket. Delkonklusjon Manglende dokumenterte rutiner for å sikre informasjon til den registrerte er å regne som et avvik fra personopplysningsforskriftens 3-1 tredje ledd bokstav d) 3.1.4.3 Sletting Regelverkets krav I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsloven 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold og vurdering Det ble opplyst at medlemsregisteret ble vasket mot postens adresseregister. Sosialistisk Venstreparti har utarbeidet rutiner for sletting av medlemsdata. Iht vedtektene settes medlemmer som ikke har betalt medlemskontingent til status ikke betalt en gang i året. Av praktiske/administrative årsaker vil det være et etterslep på 3 år før sletting finner sted. Både medlemmer som er aktivt utmeldte og medlemmer som ikke har betalt medlemskontingent blir anonymisert på en slik måte at opplysninger ikke kan spores tilbake til navn og kontaktinfo. Når et medlem aktivt melder seg ut av partiet må det forventes at dette virkelig skjer, og at medlemmet ikke plasseres over i et passivt register, for eventuelt senere oppfølging. Personer som meldes som døde slettes umiddelbart fra registeret. Det er ikke utarbeidet rutiner for sletting av gamle medlemslister i fylkes- og lokallag. I dag skjer overføring av medlemslister ved hjelp av e-post. Rutinene sier ikke noe om hva som skal skje med tidligere tilsendte lister. Delkonklusjon Sosialistisk Venstreparti har etablert rutiner for så vel kvalitet i registeret, som rutiner for sletting fra registeret. Som det fremgår av funn, kan tiden fra utmelding til faktisk sletting fremstå som lang. Det konstateres ikke avvik, men Datatilsynet ser det som naturlig at partiet selv vurderer praksisen. Det fremstår som naturlig at sletting etter aktiv utmelding går vesentlig raskere enn når medlemskapet opphører på grunn av passivitet. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 11

Derimot er det ikke uarbeidet rutiner for sletting av gamle medlemslister i fylkes- og lokallag. Dette er et avvik fra personopplysningsloven 28 og 14 jf. forskriftens 3-1 tredje ledd bokstav c). 3.1.4.4 Konklusjon Sosialistisk Venstreparti har bare delvis ivaretatt kravet om internkontroll etter personopplysningslovens 14 på plass. Arbeidet med å dokumentere ovennevnte rutiner må videreføres. Datatilsynet understreker også at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for virksomheten og de ansatte, jf. 14 annet ledd. 3.2 Krav om informasjonssikkerhet 3.2.1 Regelverkets krav I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 3.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold og konklusjon I oversendt dokumentasjon av internkontroll fremgår det at rutiner for sikkerhetsmål og sikkerhetsstrategi er etablert. Datatilsynets kontroll ga ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer i sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Tilsynet avgrenser seg derfor til å minne om nevnte plikt om at informasjonssystemet skal jevnlig gjennomgås for å kartlegge om hensikten i forhold til virksomhetens behov og sikkerhetsstrategi gir tilfredsstillende informasjonssikkerhet som resultat. 7 av 11

Sikkerhetsorganisasjon Faktiske forhold og konklusjon Det var opprettet ansvarsforhold knyttet til organisering gjennomføring av sikkerhetsarbeidet i virksomheten. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen oppdateres og gjøres kjent for de ansatte. Avvik ikke konstatert. 3.2.3 Risikovurdering I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold Datatilsynet mottok i forkant av kontrollen dokumentasjon av virksomhetens risikovurdering. Denne anser tilsynet for å være mangelfull på flere områder: 1. Det er ikke fastlagt og dokumentert kriterier for akseptabel risiko. 2. Risikovurderingen er mangelfull med hensyn til hvilke sikkerhetsbrudd som kan oppstå. 3. Iverksatte tiltak er ikke dokumentert i tilstrekkelig grad. Enkelte tiltak er beskrevet i form av intern e-postkommunikasjon, men disse og andre tiltak må dokumenteres mer systematisk som en del av risikovurderingen. Konklusjon Mangelfull gjennomføring og dokumentasjon av risikovurdering er et avvik fra personopplysningsforskriftens 2-4. 3.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriftens 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. personopplysningsforskriftens 2-3. 8 av 11

Faktiske forhold Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon regnes som avvik fra personopplysningsforskriftens 2-5. 3.2.5 Avvikshåndtering/sikkerhetsbrudd Det følger av personopplysningsforskriftens 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter personopplysningslovens 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet meddeles resultatet. Faktiske forhold og konklusjon Det ble opplyst at virksomheten hadde etablert rutiner for rapportering og håndtering av avvik, og dokumentasjon ble oversendt tilsynet i forkant av kontrollen. Datatilsynet anbefaler at virksomheten følger opp disse rutinene i organisasjonen. 3.2.6 Sikkerhetstiltak Personopplysningslovens 13 jf. personopplysningsforskriftens 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriftens 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriftens 2-8, tredje ledd og 2-14, annet ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Politisk oppfatning er en sensitiv personopplysning jf. personopplysningslovens 2 nr. 8 bokstav a. Dette stiller krav til sikring av konfidensialitet, og personopplysningsforksriften 2-11 tredje ledd pålegger at personopplysninger skal krypteres eller sikres på annen måte når disse overføres elektronisk på et medium utenfor den behandlingsansvarliges fysiske kontroll. 9 av 11

Faktiske forhold Under kontrollen ble det opplyst om at medlemslister i flere tilfeller sendes på e-post, også til mottaker som er utenfor virksomhetens nettverk og fysiske kontroll. Det var ikke iverksatt særskilte tiltak for å sikre konfidensialitet ved oversendelse. Virksomheten benytter et webbasert medlemsregister driftet av tredjepart. Registeret har en adresse (URL) som er tilgjengelig for alle på internett, og det benyttes ordinært brukernavn og passord for å logge inn i løsningen. Virksomheten var usikker på hvorvidt kommunikasjonen som standard foregikk kryptert (https), men opplyste om at dette var planlagt funksjonalitet fra leverandøren. Det ble opplyst om at en del av databaseforespørslene ble logget, men at virksomheten ikke hadde tilgang til denne informasjonen. For øvrig virket det uklart hva som ble logget av hendelser i medlemsregisteret. Konklusjon Virksomhetens bruk av usikret e-post til oversendelse av medlemslister er et avvik etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11. Virksomhetens manglende bruk av sterk autentisering i det webbaserte medlemsregisteret er et avvik etter personopplysningslovens 13, jf. personopplysningsforskriftens 2-11 og 2-14. Det er uklart hvorvidt virksomheten oppfyller kravene til registrering av autorisert og uautorisert bruk av informasjonssystemet, og hvorvidt den er i stand til å oppdage forsøk på uautorisert bruk. Tilsynet avgrenser seg derfor i denne omgang til å minne om nevnte plikt i forskriftens kapittel 2. 3.2.7 Opplæring I henhold til personopplysningsforskriftens 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold og konklusjon Virksomheten erkjente at rutinene ikke var tilstrekkelig implementert og gjort kjent for alle ansatte i partiet. Datatilsynet understreker at kompetansebygging må skje kontinuerlig og særskilte opplæringstiltak må vurderes for blant annet nyansatte. 3.3 Sosialistisk Venstrepartis databehandlere En databehandler er i personopplysningslovens 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av Sosialistisk Venstreparti må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningslovens 15. I avtalen skal det 10 av 11

fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningslovens 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av kommunen, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med kommunen. Faktiske forhold Det ble opplyst at Sosialistisk Venstreparti benyttet leverandører som behandler personopplysninger på vegne av partiet. Dette gjaldt for utlevering av medlemslister til partiets medlemsavvis Venstre Om og til Grafisk Partner i forbindelse med inndrivelse av kontingent. Det var ikke opprettet databehandleravtaler i de nevnte tilfeller. Datatilsynet viste til tilsynets veileder av 26.05.2009, Databehandleravtaler. Veilederen beskriver hvordan hovedelementene i en databehandleravtale bør være. Avtalen med kommunens databehandlere skal ivareta kravene som oppstilles i personopplysningslovens 15. Avtalen skal inneholde: Hvordan dataene skal behandles hos databehandleren, herunder Konkrete rutiner for bruk av personopplysningen Formålet med behandlingen Regler for utlevering av personopplysningen Innsyn, retting og sletting Tilfredsstillende Informasjonssikkerhet jf. personopplysningsforskriftens kapittel 2 Avviksrutiner Tilgangskontroll Sikkerhetsrevisjon Fysiske sikkerhetstiltak Konklusjon Det var ikke opprettet databehandleravtaler med partiavis Venstre Om og Grafisk Partner. Dette er et avvik fra lovens 15 og personopplysningsforskriften 2-15. 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding