Endelig kontrollrapport



Like dokumenter
Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Kontrollrapport. Kontrollobjekt: Justis- og beredskapsdepartementet Sted: Oslo

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Foreløpig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos Fell kommune den 24. november 2010 og til varsel om vedtak gitt i vårt brev av 13. desember 2010.

Endelig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Stjørdal kommune Sted: Stjørdal

Kommunens Internkontroll

Endelig kontrollrapport

Foreløpig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Endelig kontrollrapport

Endelig kontrollrapport

Internkontroll og informasjonssikkerhet lover og standarder

Vedtak om pålegg Endelig kontrollrapport for Statens Havarikommisjon for Transport Internkontroll og informasjonssikkerhet

Foreløpig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Retningslinjer for databehandleravtaler

VIRKE. 12. mars 2015

Foreløpig kontrollrapport

Databehandleravtale for NLF-medlemmer

Foreløpig kontrollrapport

Datatilsynet viser til gjennomført kontroll hos kommunen den 22. april 2009 og til varsel om vedtak gitt i vårt brev av 14. mai 2009.

Kan du legge personopplysninger i skyen?

Datatilsynet viser til gjennomført kontroll hos kommunen den 30. april 2009 og til varsel om vedtak gitt i vårt brev av 25. mai 2009.

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Vedtak om pålegg - endelig kontrollrapport - Kontroll hos Utlendingsnemnda Internkontroll og informasjonssikkerhet

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Spesielt om personvern og krav til sikring av personopplysninger. Dag Wiese Schartum

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Revisjonsrapport for 2017 om informasjonssikkerhet i forskningssystemer

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Bilag 14 Databehandleravtale

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Endelig kontrollrapport

Foreløpig kontrollrapport

Databehandleravtaler

Personvernerklæring for Vesterålsprodukter AS

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos kommunen den 29. april 2009 og Datatilsynets varsel om vedtak av 25. mai 2009.

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Policy for personvern

Transkript:

Saksnummer: 14/01434 Dato for kontroll: 13.02.2015 Foreløpig rapport: 19.02.2015 Rapportdato: 27.03.2015 Endelig kontrollrapport Kontrollobjekt: Ving Norge AS Sted: Oslo Utarbeidet av: Martha Eike Knut B. Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Ving Norge AS den 13. februar 2015. Kontrollen ble utført med hjemmel i 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om reisearrangørens behandling av personopplysninger om sine kunder er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å se på reisearrangørens plikt til å ha internkontroll. Vi la vekt på plikten til å sørge for god nok sikring av opplysningene (informasjonssikkerhet) og om reisearrangøren hadde rutiner for hvordan personopplysningene behandles. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. Alle henvisninger til lovhjemler i kontrollrapporten er knyttet til personopplysningsloven og dens forskrifter. Andre henvisninger til lovhjemler er nevnt særskilt. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Christian Fr. Grønli, adm. direktør - Åse Næss Frengstad, finansdirektør - Per-Henrik Ellingsen, Web & E-commerce Manager - Sven-Arne Strømsvåg, HR. & CRM Manager - Øyvind Tørstad, personvernombud / Ancillary Manager - Fredrik Jormin, CRM Enterprise Architect, Thomas Cook Northern Europe - Anna Lennhammer, Data Protection Officer Group / Head of Legal, Thomas Cook Northern Europe - Mark Sjöstrand, sikkerhetsansvarlig 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Martha Eike, senioringeniør 1 av 11

3 Oversendelse av informasjon Datatilsynet ba i varselet om at virksomheten skulle oversende følgende dokumentasjon: Oversikt over virksomhetens organisering, for eksempel organisasjonskart Rutiner for når det må innhentes samtykke fra kunder for behandling av personopplysninger. Rutiner for informasjon til kunder om hvilke opplysninger som lagres i deres IKTsystem. Rutiner for innsyn i opplysninger som er lagret i deres IKT-system og ved bruk av deres nettsider. Rutiner for når personopplysninger skal slettes. Risikovurderinger av IKT-system og nettsider. Rutiner for informasjonssikkerhet: a) Oversikt over informasjonssystemets utforming, for eksempel et systemkart b) Beskrivelse av tilgangsstyring til de ulike IKT-systemene c) Sikkerhetsrutiner d) Driftsrutiner Databehandleravtale med leverandører av IKT-system. Følgende dokumenter ble sendt Datatilsynet 6. februar 2015: Deltakere ved kontroll Oversikt over virksomhetens organisering nordisk nivå Oversikt over virksomhetens organisering norsk nivå Oversikt over behandlinger Rutiner ved innhentelse av samtykke Rutiner for informasjon til kunder Rutiner for innsyn Rutiner for sletting Risikovurdering av IKT-system og nettsider (ble framvist på kontrollen) Informasjonssikkerhet Rutiner for informasjonssikkerhet Databehandleravtaler med leverandører av IKT-system Diverse dokumenter (nevnt i presentasjonens siste ark) Driftsdokumentasjon ONEVIEW Taushetserklæring Thomas Cook Northern Europe (v11) Informasjonssikkerhet Brukerveiledning Samarbeidsavtale 2 stk. Under kontrollen ble følgende dokumenter gitt Datatilsynet: Dokumentasjon om gjennomførte sikkerhetstester fra de tre siste årene En detaljert agenda ble oversendt virksomheten på e-post før kontrollen. 2 av 11

4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble virksomhetens internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om virksomheten hadde kontroll på følgende: Hvilke opplysninger registreres i forbindelse med bestilling av reiser, og ved bruk av reisearrangørens nettsider og IKT-system (jf. 14 og forskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av IKT-system, jf. 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. forskriften 2-3 Risikovurdering, jf. forskriften 2-4 annet ledd 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll 5.1.1 Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 5.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Virksomheten er tydelig på at det er administrerende direktør som er behandlingsansvarlig, og dette er kommunisert innenfor virksomheten. 3 av 11

5.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Virksomheten har en dokumentert oversikt over hvilke personopplysninger som blir behandlet. Den er laget i matriseform. Oversikten er tilstrekkelig i forhold til å kunne gjennomføre en risikovurdering i forhold til de enkelte behandlinger. Matrisen kan imidlertid utvikles ytterliggere. Vi viser her til Datatilsynets «En veiledning om internkontroll og informasjonssikkerhet» for videre informasjon. Se særlig side 13 hvor det er vist et eksempel i matriseform. 5.1.4 Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis. 4 av 11

5.1.4.1 Rett til innsyn Det følger av 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Virksomheten har ikke dokumentert en rutine for ivaretakelse av borgerens krav på innsyn etter 18 første ledd. Det er laget en rutine for innsyn for den registrerte slik 18, 2. ledd krever. Enhver (borgeren) har krav på å få informasjon som nevnt i 18, 1. ledd. Slike rutiner er viktige for at borgeren skal kunne kontrollere virksomheten og bl.a. formålet med behandlingen. Dette kan godt gjøres i en matriseform og de kan vurdere om denne informasjonen kan legges ut på virksomhetens hjemmesider. I tillegg må det lages rutiner for hvordan innsynsbegjæringer skal håndteres. Manglende dokumenterte rutiner for ivaretakelse av 18, første ledd er et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 første ledd bokstav d). 5.1.4.2 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 5 av 11

Unntak fra informasjonsplikten følger av 19 siste ledd og 23. På nett er det gitt informasjon på http://www.ving.no/sarlige-forhold og http://www.ving.no/forbrukertrygghet Når kunden bestiller reisen gis det informasjon om hva opplysningene skal brukes til, bl.a. at de vil bli utlevert til relevant samarbeidende flyselskap og hotell, og det gis informasjon om lagringstid. Informasjonen som gis kunden er tilfredsstillende. 5.1.4.3 Sletting I henhold til 11 e, jf. 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Virksomheten lagrer personopplysningene i inntil 3 år. Etter 3 år ber virksomheten om samtykke til å oppbevare personopplysningene i inntil 10 år for å gi kunden bedre service ved fornyet kontakt. Virksomheten har laget en dokumentert rutiner for kvalitet/sletting av personopplysninger. Når virksomheten lagrer personopplysninger i inntil 3 år etter siste kontakt er dette innenfor rammene for lagring uten eksplisitt samtykke. Ytterligere lagring (etter samtykke) slik at opplysningene lagres i inntil 10 år synes Datatilsynet ikke er tilstrekkelig saklig begrunnet, slik 11 krever. Virksomheten må her gjøre en ny vurdering av behovet for ytterligere lagringstid. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 6 av 11

5.1.4.4 Melding/konsesjon Rettslig grunnlag I henhold til 33 kreves det konsesjon for å behandle sensitive personopplysninger. Etter 33 femte ledd gjelder ikke konsesjonsplikten behandling av personopplysninger i organ for stat eller kommune. Hvis behandlingen av personopplysninger er unntatt konsesjonsplikten etter 33 gjelder hovedregel i 31 om meldeplikt. Personopplysningslovens forskrifter kapittel 7 har flere unntak fra konsesjonsplikten og/eller meldeplikten. og vurdering Det finnes ingen dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33. Manglende dokumenterte rutiner for ivaretakelse av melde- og konsesjonsplikten etter 31 og 33 er et avvik etter 14, jf. forskriften 3-1, tredje ledd bokstav f). 5.2 Krav om informasjonssikkerhet 5.2.1 I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumentert. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig viser vi til Datatilsynets hjemmeside, http://www.datatilsynet.no. 5.2.2 Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi og vurdering Virksomhetens sikkerhetsmål og sikkerhetsstrategi er dokumentert i dokumentene Regler och Riktlinjer Informationssäkerhet og Övergripande informationssäkerhetspolicy. Dokumentene gir preg av å være godt gjennomarbeidet. 7 av 11

Sikkerhetsorganisasjon og vurdering Ansvar og roller for sikkerhetsledelse er dokumentert i Regler och Riktlinjer Informationssäkerhet. Dokumentet gir preg av å være godt gjennomarbeidet. Besøket hos virksomheten gir et ytterligere inntrykk av en godt etablert sikkerhetskultur. 5.2.3 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Virksomhetens arbeid med risikovurdering er dokumentert overordnet i Regler och Riktlinjer Informationssäkerhet. Under kontrollen fikk vi vite at det ikke er gjennomført og dokumentert risikovurdering på alle system som inneholder personopplysninger. Det gjennomføres årlig sikkerhetstester av CRM-systemet av eksterne leverandører. Vi fikk overlevert dokumentasjon på tester som er gjennomført de siste tre årene, og innholdet ble ikke gjennomgått under kontrollen. Sikkerhetstesten av CRM-systemet består av en applikasjonssikkerhetstest og sårbarhetsanalyse. Testen har avdekket sårbarheter og svakheter i applikasjonen, i tillegg til at det er anbefalt tekniske sikkerhetstiltak. Det er bra at det er gjennomført sikkerhetstest og sårbarhetsanalyse av CRM-systemet, men vi anser ikke denne analysen til å være tilstrekkelig til å kjenne alle trusler for personvernet til de registrerte. Testene er gjort for å se på sårbarheter i et system og tar ikke høyde for andre faktorer som for eksempel menneskelig svikt, fysisk påvirkning og miljø. Hendelsesscenarioene bør være varierte og se på alle aspekter ved informasjonssikkerhet; konfidensialitet, integritet og tilgjengelighet. I tillegg bør det dokumenteres sikkerhetstiltak som er organisatoriske og fysiske, i tillegg til tekniske. Virksomheten må gjennomføre og dokumentere risikovurderinger for alle informasjonssystem som inneholder personopplysninger. Mangelfull gjennomføring og dokumentasjon av risikovurdering er et avvik etter 13, jf. forskriften 2-4 og 2-16. 8 av 11

5.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. forskriften 2-3. Det har blitt gjennomført en gap-analyse i København for å se hvor «compliant» virksomheten er. Det er ikke gjennomført sikkerhetsrevisjon slik det fremgår av kravene i forskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik etter 13, jf. forskriften 2-5. 5.2.5 Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, 2. ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Det finnes rutiner for hendelseshåndtering. Denne blir nå utbedret slik at den skal gjelde globalt og er antatt ferdig i mars. Rutinen har et forbedringspotensial ved at det tas med en tekst om rapportering til Datatilsynet, i samsvar med forskriften 2-6. Datatilsynet legger til grunn at virksomheten utbedrer rutiner for avvikshåndtering ved å ta inn en tekst om rapportering til Datatilsynet i samsvar med forskriften 2-6. Ingen avvik konstatert. 5.2.6 Sikkerhetstiltak 13, jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. 9 av 11

Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Det er etablert en rekke sikkerhetstiltak, som er dokumentert i eget dokument. Det er tilgangsstyring på systemene som inneholder personopplysninger, slik som CRM-system og booking. Ulike roller skal ha ulik tilgang. Systemeier bestemmer hvem som skal ha tilgang til hva. Behovsvurdering gjøres av leder. Ingen i Norge kan gi tilganger. Det er etablert to uavhengige sikkerhetstiltak for at de ansatte skal få tilgang til kundenes opplysninger. For at de ansatte skal ha ekstern tilgang brukes det VPN med to sikkerhetsfaktorer. Harddisker er kryptert. Det er begrenset tilgang fra andre pc er enn de som tilhører virksomheten. er gjort ut i fra behovet om tilgjengelighet ved beredskap. Systemene blir driftet av virksomheten selv i Stockholm, og noe er outsourcet til Tieto. Det er rutiner for håndtering av backup, samt rutiner for business continuity og disaster recovery. Vi ba om å få ettersendt nettverkstegning eller konfigurasjonskart, men da rapporten ble skrevet er den ennå ikke mottatt. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Virksomheten har enkelte sikkerhetstiltak på plass. Det at de ikke har gjennomført og dokumentert risikovurdering av hele informasjonssystemet, kan tyde på at det finnes trusler og tiltak de ikke har tatt høyde for når informasjonssystemet er satt opp og under drift. Vi mener at virksomheten må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i forskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra 13, jf. forskriften 2-14. 5.2.7 Opplæring Rettslig grunnlag I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. De har rutiner for å gi opplæring til alle nyansatte om lover, regler, taushetsplikt og etiske regler. Det gjennomføres årlige gjennomganger og hver enkelt må signere på dette. 10 av 11

De har en kort brukerveiledning for informasjonssikkerhet, som hver enkelt må lese. I brukerveiledningen vises det til det mer utfyllende dokumentet Regler og Riktlinjer Informationssäkerhet på deres intranett. 5.3 Databehandlere En databehandler er i 2 nr. 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Det er inngått databehandleravtale med Tieto. 11 av 11

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding