Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Like dokumenter
Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Endelig kontrollrapport

Endelig Kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Endelig kontrollrapport

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Foreløpig kontrollrapport

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

Endelig kontrollrapport

Endelig kontrollrapport

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Vedtak om pålegg - oversendelse av endelig kontrollrapport for kommune

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

Foreløpig kontrollrapport

Kommunens Internkontroll

Foreløpig kontrollrapport

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Endelig kontrollrapport

Kontroll av reseptformidleren endelig kontrollrapport

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Foreløpig kontrollrapport

Retningslinjer for databehandleravtaler

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Foreløpig kontrollrapport

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak om pålegg - endelig kontrollrapport for AS Scan Detect - privat etterforskningsvirksomhet

Endelig kontrollrapport

Databehandleravtaler

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Vår referanse (bes oppgitt ved svar)

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Transkript:

Direktoratet for naturforvaltning Postboks 5672 Sluppen 7485 TRONDHEIM Deres referanse 2012/15619 org-itev Vår referanse (bes oppgitt ved svar) Dato 12/01045-8/KBK 18. februar 2013 Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet Den 4.12.2012 gjennomførte Datatilsynet en kontroll hos Direktoratet for naturforvaltning (DN). Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3. Datatilsynet har i brev 29,01.2013 mottatt virksomhetens merknader til varselet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Direktoratet for naturforvaltning må etablere internkontroll gjennom planlagte og systematiske tiltak i samsvar med 14. Se tilsynsrapportens avsnitt 6.1.2. 2. Direktoratet for naturforvaltning må avklare hvem som er behandlingsansvarlig for behandling av personopplysninger i tilknytning til Jegerregisteret, jf. 14, jf. 2 og 11. Se tilsynsrapportens avsnitt 6.1.3. 3. Direktoratet for naturforvaltning må etablere rutiner for å sikre innsyn og informasjon til den registrerte i samsvar med 14, jf. forskriften 3-1 bokstav d). Se tilsynsrapportens avsnitt 6.1.5.1 og 6.1.5.2. 4. Direktoratet for naturforvaltning må etablere rutiner for sletting i samsvar med 14, jf. forskriften 3-1 tredje ledd bokstav c). Se tilsynsrapportens avsnitt 6.1.5.3 5. Direktoratet for naturforvaltning må etablere entydige sikkerhetsmål og sikkerhetsstrategi. Direktoratet for naturforvaltning må også etablere en entydig sikkerhetsorganisasjon i samsvar med 13, jf. forskriften 2-3. Se tilsynsrapportens avsnitt 6.2.2. 6. Direktoratet for naturforvaltning må etablere helhetlige rutiner for gjennomføring av risikovurdering av alle systemer i virksomheten i samsvar med 13, jf. forskriften 2-4. Se tilsynsrapportens avsnitt 6.2.3 7. Direktoratet for naturforvaltning må etablere rutiner for gjennomføring av sikkerhetsrevisjoner i samsvar med 13, jf. forskriften 2-5. Se tilsynsrapporten avsnitt 6.2.4. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

8. Direktoratet for naturforvaltning må etablere rutiner for avvikshåndtering og implementere dette i virksomheten i samsvar med 13, jf. forskriften 2-6. Se tilsynsrapporten avsnitt 6.2.5 Datatilsynet gir frist for gjennomføring av påleggene til 1. juli 2013. For pålegg nr. 4 gis det frist til 1. november 2013 for gjennomføring og iverksettelse av rutinene. Virksomheten må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 2

Saksnummer: 12/01045 Dato for kontroll: 04.12.2012 Rapportdato: 18.02.2013 Endelig kontrollrapport Kontrollobjekt: Direktoratet for naturforvaltning Sted: Oslo Utarbeidet av: Knut-Bredee Kaspersen Marius Engh Pellerud Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Direktoratet for naturforvaltning 4. desember 2012. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. 45. Alle henvisninger til lovhjemler i denne rapporten vil, med mindre det eksplisitt er uttalt noe annet, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Morten Mørch, avdelingsdirektør - Jonas Østlyng, senioringeniør - Einar Landheim, seksjonssjef - Martin S. Bergquist, førstekonsulent 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør, (jurist) - Martha Eike, overingeniør - Marius Engh Pellerud, rådgiver 3 Generelt Direktoratet for naturforvaltning (DN) er underlagt Miljøverndepartementet. Det er ca. 380 ansatte i DN, i hovedsak jurister, samfunnsøkonomer og ingeniører. Direktoratet 1 av 11

iverksetter regjeringens miljøpolitikk og har ansvaret for å identifisere, forebygge og løse miljøproblemer. DN er inndelt i fem avdelinger: - Avdeling for naturbruk og vern - Artforvaltningsavdelingen - Organisasjonsavdelingen - Avdeling for naturressurser og klima - Statens naturoppsyn. Statens naturoppsyn (SNO) er organisert som en egen enhet i direktoratet, og har lokalkontorer spredt over hele landet. SNO har oppsynsmyndighet både på offentlig og privat grunn. Fra 1. juli 2013 vil Direktoratet for naturforvaltning bli slått sammen med Klima- og forurensningsdirektoratet (Klif). Hovedkontor blir etablert i Trondheim. 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 7. november 2012 om at direktoratet oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant av kontrollen. Direktoratet oversendte Datatilsynet ytterligere dokumentasjon etter kontrollen. En detaljert agenda ble oversendt DN før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av direktoratets plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. 2 av 11

Under kontrollen ble DNs internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Datatilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll 6.1.1 Generelt om personopplysningsloven 14 Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i pkt. 6.2. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 6.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i pkt. 6.2. Direktoratet har ikke etablert noe eget internkontrollsystem, slik 14 forutsetter. Imidlertid hadde direktoratet opprettet en oversikt over behandlinger av personopplysninger. Det var ellers få dokumenterte rutiner, og ingen kontrollerende aktivitet. Behandlingsansvaret som tilligger direktør er synliggjort i organisasjonen i prosedyrene for autorisasjon og sikkerhetsklarering. Selv om det er innlysende at det er direktøren som har behandlingsansvaret, så er ikke dette dokumentert slik regelverket pålegger direktoratet, se forskriften 3-1. Således er det heller ikke i tilstrekkelig grad synliggjort hvem som har det daglige ansvaret for den enkelte behandling. Dette må dokumenteres. 3 av 11

Konklusjon Manglende internkontrollsystem for ivaretakelse av pliktene etter personopplysningslovens er et avvik fra krav om internkontroll gjennom planlagte og systematiske tiltak etter 14, jf. forskriften 3-1. 6.1.3 Behandlingsansvar Jegerregisteret Datatilsynet vil påpeke spesiell usikkerhet for behandlingsansvaret for Jegerregisteret. Registeret driftes av Brønnøysundregistrene (BR) mens DN har en rolle som bruker av systemet. Datatilsynet har fått oversendt en avtale mellom Direktoratet og Brønnøysundregistrene som behandler Jegerregisteret. Her framgår det at Direktoratet har det overordnede ansvaret for registeret. I avtalen påpekes det videre at BR har ansvaret for driften av systemet og at BR er konsesjonshaver. Funksjonen som konsesjonshaver tyder på at det er BR som er behandlingsansvarlig, mens beskrivelsen av DNs rolle i systemet peker i retning av at DN bør ha rollen som behandlingsansvarlig. Rollen som behandlingsansvarlig for Jegerregisteret framstår som uavklart. Konklusjon Ikke avklart behandlingsansvaret for Jegerregisteret og manglende dokumentasjon av dette er et avvik fra 14, jf. forskriften 2 nr 4. 6.1.4 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må direktoratet ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. DN hadde utferdiget en oversikt over behandlinger av personopplysninger. Delkonklusjon Ingen avvik konstatert. 4 av 11

6.1.5 Øvrige plikter etter personopplysningsloven 14 jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett. 6.1.5.1 Rett til innsyn Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Dokumentasjon på rutiner for å sikre innsyn til den registrerte er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for å sikre innsyn og informasjon til den registrerte er å regne som et avvik fra 14, jf. forskriften 3-1 bokstav d). 6.1.5.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte selv Det følger av 19, 1. ledd, at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. 5 av 11

Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd, 20, 2.ledd og 23. Dokumentasjon på rutiner for å sikre informasjon til den registrerte er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for å sikre informasjon til den registrerte er å regne som et avvik fra forskriften 3-1 bokstav d). 6.1.5.3 Sletting I henhold til 11, bokstav e), jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold og vurdering Dokumentasjon på rutiner for å slette opplysninger er ikke utferdiget. Delkonklusjon Manglende dokumenterte rutiner for sletting er et avvik, jf. forskriften 3-1 tredje ledd bokstav c). 6.1.5.4 Konklusjon Manglende dokumentasjon på rutiner for innsynsbegjæringer etter 18, informasjonskrav etter 19 og 20, og sletteplikten etter 27 og 28 regnes som avvik fra 14, jf. forskriften 3-1. 6.2 Krav om informasjonssikkerhet 6.2.1 I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no og veiledningsmateriale som ble overrakt under kontrollen. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 11

6.2.2 Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi DNs sikkerhetsmål er nedfelt i to dokumenter; virksomhetens grunnlagsdokument for sikkerhet (datert 2012) og i et dokument kalt Informasjonssikkerhet (datert 2008). Disse to dokumentene regulerer delvis det samme. På noen områder er det sammenfall mellom innholdet i de to dokumentene, men det er også delvis motstrid mellom dem. Det er derfor uklart hva som er gjeldende sikkerhetsmål og strategi i virksomheten. Grunnlagsdokument for sikkerhet er rettet inn mot beskyttelse av gradert materiale, men behandler også i noen grad personvern og informasjonssikkerhet. Det framgikk under kontrollen at det er uklart for virksomheten hvilket av dokumentene som gjelder ved motstrid. Delkonklusjon Mangel på entydige sikkerhetsmål og sikkerhetsstrategi er et avvik fra bestemmelsene i 13, jf. forskriften 2-3. Sikkerhetsorganisasjon Virksomhetens sikkerhetsorganisasjon er beskrevet i både grunnlagsdokument for sikkerhet og i dokumentet Informasjonssikkerhet. Ansvaret på informasjonssikkerhetsområdet er imidlertid ulikt beskrevet. Det er derfor uklart hva som er gjeldende sikkerhetsorganisasjon i virksomheten. Virksomhetens praksis er at de ulike fagavdelingene er delegert alle operative driftsoppgaver knyttet til virksomhetens fagsystemer. Fagavdelingene står blant annet for drift og anskaffelser selv. Avdeling for organisasjon og informasjon, som alle DNs representanter under kontrollen hørte til i, hadde kun driftsansvar for virksomhetens sektorovergripende system. Det var derfor noe begrenset hva representantene for DN kunne svare på under kontrollen. Datatilsynet ønsker å påpeke at en slik organisering kan ha uønskede konsekvenser. Dette kommer vi blant annet tilbake til i avsnitt 6.2.3. Dette er imidlertid ikke å anse som et avvik. 7 av 11

Delkonklusjon Mangel på en dokumentert og helhetlig sikkerhetsorganisasjon er et avvik fra bestemmelsene i 13, jf. forskriften 2-3. 6.2.3 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet kjenner ikke til at DN har noen veiledning eller rutiner for gjennomføring av risikovurderinger i virksomheten. Datatilsynet ble oversendt ett eksempel på risikovurdering i forkant av kontrollen. Denne er fra 2009 og derfor antar vi den ikke er helt oppdatert. Ansvaret for gjennomføring av risikovurderinger i DN ligger i de ulike fagavdelingene i direktoratet. Det fins derfor ingen sentral koordinering av gjennomføring av risikovurderinger. Det er varierende i hvilken grad avdelingene gjennomfører risikovurderinger, og avdelingen for organisasjon og informasjon har ingen rolle i dette arbeidet. Arbeidet med risikovurderinger i DN er derfor usystematisk og gjøres trolig i varierende grad. Datatilsynet fikk under kontrollen se eksempler på gjennomførte risikovurderinger av virksomhetens fellessystemer. Datatilsynet har ingen kommentarer til disse. Konklusjon Mangel på helhetlige rutiner for gjennomføring av risikovurdering av alle systemer i virksomheten er et avvik fra bestemmelsene i 13, jf. forskriften 2-4. 6.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Sikkerhetsrevisjon er planlagt i virksomheten, men er ikke gjennomført. 8 av 11

Konklusjon Manglende sikkerhetsrevisjoner er et avvik fra bestemmelsene i 13, forskriften 2-5. 6.2.5 Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. DN oversendte Datatilsynet sin mal for avviksrapportering. Dette tilsvarer Datatilsynets mal for avviksskjema. DN har ingen egen rutine for melding eller oppfølging av avvik. Virksomheten håndterer ca ett til to avvik i året. Det er ingen rutine for lukking av avvik eller melding av avvik til Datatilsynet. Konklusjon Manglende rutiner for melding og oppfølging av avvik er et avvik fra 13, jf. forskriften 2-6. 6.2.6 Sikkerhetstiltak 13 jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Datatilsynet har fått overlevert virksomhetens rutine for tilgangsstyring. Datatilsynet har ingen kommentarer til denne. Under gjennomgang av DNs dokumentasjon identifiserte Datatilsynet enkelte forhold som ble belyst under og etter kontrollen. Dette gjennomgås i det følgende. Dokumentet informasjonssikkerhet fastslår at det er mulig å oppbevare personopplysninger på lokal PC. Under kontrollen ble det presisert at dette er en praksis som gjøres kun hos Statens 9 av 11

naturoppsyn (SNO). Dette fordi medarbeiderne i SNO jobber i felt og ikke sitter med tilgang til nett. En slik praksis representerer utfordringer med gjennomføring av krav i personopplysningsloven, for eksempel krav om sletting, retting og innsyn. Lagring på lokal PC representerer også en potensiell risiko for konfidensialitetsbrudd. Datatilsynet etterspurte under kontrollen DNs dokumenterte risikovurdering av denne praksisen. Denne dokumentasjonen ble ettersendt. Av denne dokumentasjonen framgår det at ansatte i SNO ikke skal lagre personopplysninger på lokal PC. Dersom vedkommende ikke har tilgang til nett skal personopplysninger lagres manuelt. Manuell mellomlagring er presisert til å være ikke i elektronisk form. Datatilsynet vil ikke konstatere et avvik i denne praksisen, men vil påpeke usikkerhet rundt hva gjeldende praksis faktisk er. Dokumentet informasjonssikkerhet fastslår at sensitive personopplysninger normalt ikke skal sendes på e-post (s. 8). Dette leder både til spørsmål om hvorfor DN har vurdert det slik at det i enkelte tilfeller er greit å sende sensitive personopplysninger på e-post, og om det er greit å sende ikke-sensitive personopplysninger på e-post. Under kontrollen viser det seg at sending av sensitive opplysninger på e-post kun gjelder oversendelse av anmeldelser fra SNO. DN har etter kontrollen bekreftet at denne praksisen er avsluttet og at sensitive personopplysninger ikke sendes på e-post lengre. Det var for øvrig aldri meningen med setningen over at ikkesensitive personopplysninger kan sendes på e-post. Konklusjon Ingen avvik konstatert. 6.2.7 Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Alle ansatte i DN signerer på IKT-instruksen. Denne viser til grunnlagsdokumentet og dokumentet Informasjonssikkerhet. Alle nyansatte vår kurs av IKT-avdelingen som gir utfyllende informasjon om sikkerhetsdokumentasjonen. Nyansatte går også på introkurs, men dette behandler informasjonssikkerhet kun overfladisk. Det er ikke informasjon om personvern og informasjonssikkerhet på virksomhetens intranettsider. Konklusjon Datatilsynet vil ikke påpeke avvik ved virksomhetens opplæringsvirksomhet. Datatilsynet vil imidlertid påpeke at virksomhetens opplæringsstrategi virker noe svak og trolig må styrkes i ledd av lukking av virksomhetens øvrige avvik. 6.2.8 Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på 10 av 11

vegne av Direktoratet for naturforvaltning må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandleren har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med direktoratet. Direktoratet for naturforvaltning drifter de fleste av sine systemer selv. Imidlertid er det to samarbeidsforhold som Datatilsynet i sin kontroll har sett nærmere på: Jegerregisteret og Rovbase. DN har et samarbeid med Brønnøysundregistrene (BR) om Jegerregisteret. Det ble under kontrollen stilt spørsmål ved om det er DN eller BR som er behandlingsansvarlig for Jegerregisteret og om det eventuelt er etablert databehandleravtale mellom partene. Oversendt avtale mellom DN og BR inneholder i alle fall delvis innhold som skal reguleres i en databehandleravtale. Om det skal opprettes databehandleravtale mellom DN og BR avhenger av avklaring av behandlingsansvaret for Jegerregisteret, se avsnitt 6.1.3. Det foreligger planer om samarbeid mellom DN og det svenske Naturvårdsverket om felles bruk av DNs base for rovvilt. Det er allerede i dag mulig for svenske brukere å registrere rovviltobservasjoner i DNs system. Det er kun navn på jeger som registreres av personopplysninger i denne løsningen. Dette er ikke regulert av databehandleravtale i dag, men det skal utformes en samarbeidsavtale mellom partene. Datatilsynet vil ikke konstatere avvik på dette punktet, men vil påpeke behovet for at partene tydeliggjør roller etter personopplysningsloven og at det trolig bør etableres en databehandleravtale i tillegg til en samarbeidsavtale. Konklusjon Ingen avvik konstatert. 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding