SANDNES KOMMUNE - RÅDMANNEN Arkivsak Arkivkode Saksbeh. : 200906584 : E: 210 : S. Haugen Behandles av utvalg: Møtedato Utvalgssaksnr. Bystyret 02.03.2010 27/10 RAPPORT ETTER FORVALTNINGSREVISJON - ELEKTRONISK BEHANDLING AV SENSITIVE OPPLYSNINGER Sandnes Kontrollutvalg har sluttbehandlet rapporten etter forvaltningsrevisjon Elektronisk behandling av sensitive personopplysninger, i sak 2/10 og saken fremmes for bystyret for endelig behandling og oppfølging. Kontrollutvalget bestilte forvaltningsrevisjonsprosjektet hvor formålet har vært å vurdere Kommunens systemer og rutiner for informasjonssikkerhet, avgrenset til elektronisk behandling av sensitive personopplysninger. Kontrollutvalget ba ut fra dette om at seks områder ble nærmere vurdert. Det var hvilke systemer og rutiner kommunen har for å ivareta krav til informasjonssikkerhet ved elektronisk behandling av sensitive personopplysninger, dernest i hvilken grad kravene etterleves. Videre å undersøke hvem som har tilganger og hvilke systemer kommune har for å spore/loggføre hvem som har vært inne og sett på opplysningene. Ved eventuelle avvik fremmes hvilke korrigerende tiltak som bør iverksettes for å sikre tilfredsstillende informasjonssikkerhet. Av rapportens kapittel 1 Sammendrag fremgår det at hovedinntrykket er at kommunen har tekniske løsninger som i stor grad sørger for at gjeldende regler blir fulgt. Ansvarsog myndighetsforhold er i hovedsak dokumentert og oppdatert, og der fullt mulig å spore hvem som har gjort hva. Enheter som har vært undersøkt benytter taushetserklæringer og informerer om hva taushetsplikten innebærer i praksis. Revisjonen har ikke funnet at sensitive personopplysninger er kommet på avveie, men kan ikke derav utelukke at det kan skje. Avvik i forhold til kravene knytter seg til de organisatoriske tiltakene som loven krever. Revisjonen anbefaler at kommunen gjennomfører risikovurderinger og kontroller ihht. gjeldende regler og kommunens informasjonssikkerhetshåndbok. Det gis fire anbefalinger knyttet til dette. Anbefalingene gjelder gjennomføring av risikovurdering når datasystemer endres eller trusselbildet endres. Dernest at det kontrolleres at sikkerhetstiltak som er besluttet iverksatt er implementert og virker. Videre at sikkerhetsmål, strategi og organisering av kommunens datasystem er i samsvar med virksomhetens behov. Det anbefales forbedringer av rutiner for avviksbehandling. Rapportens sammendrag og rådmannens merknader er samlet i de 5 første sidene. Rapporten med faktagrunnlag, utdypende vurderinger og anbefalinger fremgår av kapittel 1.1-1.3, samt vedlegg. I samsvar med Revisjonsforskriften 8, 2 er rådmannen gitt anledning til å uttale seg til den foreløpige rapporten. Rådmannens kommentarer fremgår av rapportens innledende del, side 5. I medhold av Forskrift om kontrollutvalg 11, fremmer Kontrollutvalget sin innstilling direkte til bystyret. Rådmannen er ikke tillagt innstillingsmyndighet etter loven i slike saker. Saken skal behandles av bystyret som fatter endelig vedtak. Side 1 av 2
Kontrollutvalget i Sandnes kommune tilrår bystyret å fatte slikt VEDTAK: 1. Bystyret i Sandnes slutter seg til de samlede kommentarer og anbefalinger som går fram av forvaltningsrevisjonsrapporten Elektronisk behandling av sensitive personopplysninger. 2. Rapporten oversendes rådmannen for videre oppfølging. Kontrollutvalget får melding om hvordan bystyrets vedtak er fulgt opp ca 6 mnd. etter at rapporten er vedtatt i bystyret. RÅDMANNEN I SANDNES, 15. februar 2010 Tore Sirnes Rådmann Vedlegg nr. 1: Protokoll, saksfremlegg og rapport sak 2/10 i Kontrollutvalget Forvaltningsrevisjon Elektronisk behandling av sensitive personopplysninger Side 2 av 2
ROGALAND KONTROLLUTVALGSEKRETARIAT IS Arkivsak Arkivkode Saksbeh. : 200900006 : E: 216 : Wencke S. Olsen Behandles av utvalg: Møtedato Utvalgssaksnr. Kontrollutvalget i Sandnes 21.01.2010 02/10 FORVALTNINGSREVISJONSRAPPORT: ELEKTRONISK BEHANDLING AV SENSITIVE OPPLYSNINGER Bakgrunn: Kontrollutvalget bestilte denne rapporten på sitt møte den 12. februar 2009. Formålet med rapporten skal være å vurdere kommunens systemer og rutiner for informasjonssikkerhet, avgrenset til elektronisk behandling av sensitive personopplysninger. Det ble ut fra formålet vedtatt å se nærmere på følgende problemstillinger: Hvilke systemer og rutiner har kommunen for å ivareta krav til informasjonssikkerhet ved elektronisk behandling av sensitive personopplysninger? I hvilken grad etterlever kommunen kravene til informasjonssikkerhet? Hvem har tilgang til sensitive personopplysninger? Hvilke systemer har kommunen for å spore/ loggføre hvem som har vært inne og sett på personopplysningene? Hvilke korrigerende tiltak bør eventuelt iverksettes for å sikre tilfredsstillende informasjonssikkerhet? Kontrollutvalget presiserte at en forutsetter at sporing av hvem som har vært inne i taushetsbelagte datasystemer tas inn under pkt. 1 og 2 i mandatforslaget. Saksutredning: Sekretariatet har mottatt rapporten for framlegging i kontrollutvalget før videresending til bystyret. Ved utarbeiding av rapporten har revisor intervjuet ansvarlig kommunaldirektør og IKTdrift, samt systemansvarlige for fagsystemene innenfor pleie- og omsorg, helse- og sosialtjenesten, PP-tjenesten og barnevernstjenesten. Revisor har også har vurdert praksis i Sandnes opp mot blant annet kravene i personopplysningsloven med forskrift, og kommunens egen håndbok for informasjonssikkerhet. Hovedinntrykket fra rapporten er at kommunene har de tekniske løsningene som skal sørge for at reglene blir fulgt. Avvikene knytter seg til de organisatoriske tiltakene som kreves. Revisor har ikke funnet at sensitive opplysninger er kommet på avveie, men kan likevel ikke garantere at dette ikke skjer. Ut fra rapportens funn er revisor hovedanbefaling at kommunen bør gjennomføre risikovurderinger og kontroller i henhold til gjeldende regler og kommunens informasjons-sikkerhetshåndbok. Herunder anbefales at kommuneledelsen bør: Gjennomføre risikovurderinger når datasystemer endres eller det oppstår endringer i trusselbildet Kontrollere at de sikkerhetstiltak som er besluttet etablert, faktisk er iverksatt og fungerer 4
Kontrollere at sikkerhetsmål, strategi og organisering av kommunens datasystem er i samsvar med virksomhetens behov Forbedre sine rutiner for avviksbehandling For utdyping av revisors funn og anbefalinger vises det til rapportens kap. 1.3, side 22. Iflg. Revisjonsforskriftens 8, 2. skal administrasjonssjefen (rådmannen) gis anledning til å gi uttrykk for sitt syn på de forhold som kommer fram i rapporten. Administrasjonssjefens kommentarer skal også fremgå av selve rapporten, og finnes i sin helhet på side 5 i rapporten. Rådmannen uttaler at revisors vurderinger og anbefalinger i stor grad samsvarer med egne funn og vedtatte tiltak i 2009. Rådmannen vil på bakgrunn av anbefalingene sette i verk følgende tiltak: 1. Avsette tilstrekkelige ressurser, slik at tilfredsstillende informasjonssikkerhet opprettholdes. 2. Gjennomføre risikovurderinger når datasystemene endres, eller når det oppstår endringer i trusselbildet. 3. Sørge for tilfredsstillende rutiner for å gjennomføre egenkontroller. 4. Gjennomføre ledelsens årlige gjennomgang med utgangspunkt i vedtatte rutiner. 5. Forbedre rutinene for avviksbehandling. Kontrollutvalget har iflg. forskrift ansvar for å se til at bystyrets vedtak i fbm forvaltnings- revisjon følges opp av administrasjonen. Det foreslås derfor at det bes om tilbakemelding på dette ca. et halvt år etter at rapporten er ferdigbehandlet i bystyret. Kontrollutvalget innstiller til bystyret i denne saken. Forslag til VEDTAK: 1. Bystyret i Sandnes slutter seg til de samlede kommentarer og anbefalinger som går fram av forvaltningsrevisjonsrapporten Elektronisk behandling av sensitive personopplysninger. 2. Rapporten oversendes rådmannen for videre oppfølging. Kontrollutvalget får melding om hvordan bystyrets vedtak er fulgt opp ca 6 mnd. etter at rapporten er vedtatt i bystyret. SANDNES, 12.01.2010 Wencke S. Olsen Sekr.leder Vedlegg: Forvaltningsrevisjonsrapport 5