Inspektion af datasikkerhed hos borgerservice i Allerød Kommune den 20. november 2014, j.nr

Transkript

1 Inspektion af datasikkerhed hos borgerservice i Allerød Kommune den 20. november 2014, j.nr Deltagere Fra kommunen: Socialchef Gitte Overgaard, gruppeleder Helle Vestergaard Hansen, sekretariatschef Tina Vibsig Pedersen, IT-chef Carsten Ellehauge og økonomichef Jette Møberg. Fra Datatilsynet: Specialkonsulent Jesper Husmer Vang, fuldmægtig Bjarke Asger Bro, fuldmægtig Kasper Frederiksen og fuldmægtig Christian Vinter Hagstrøm. Datatilsynet orienterede om inspektionen Denne inspektion fokuserer på datasikkerhed i borgerservicecentre, navnlig i forhold til Kravene, der er beskrevet i publikationen Datasikkerhed i borgerservicecentre og Kommunens bistand til borgernes digitale selvbetjening. Denne inspektion er således ikke en all-round gennemgang af kommunens efterlevelse af persondataloven. 1. Generel beskrivelse af kommunens borgerservice Findes der et eller flere borgerservicecentre? Allerød Kommune oplyste, at der pt. kun er ét Borgerservicecenter - rådhuset, Bjarkesvej 2, 3450 Allerød. Hvor mange medarbejdere er ansat i borgerservice? Allerød Kommune oplyste, at der er ansat 8 faste medarbejdere + 1 elev + 1 servicemedarbejder, som laver tværgående opgaver af praktisk karakter i huset. Disse 8 ansatte medarbejdere dækker over den gruppe, der sidder i den såkaldte frontgruppe. Støttepersonale befinder sig andet steds. Hvilke it-systemer har medarbejdere i borgerservice adgang til? Allerød Kommune oplyste, at kommunen anvender følgende fagsystemer: 1

2 Cpr. SKAT UIP ( Udlændinge styrelses system) Rigspolitiet ( kørekort + pas) Udbetaling Danmark (KMD Pension sagsdel) Workbase Jobcenter Miljøportalen kørekortsbooking ScanTech pas, kørekort og id-kort KMD Sag CSC Notus og E-flyt Prisme drift & portal KMD Boliglån KMD E-indkomst KMD Doc2mail KMD Doc2archive KMD Aktiv KMD Valg & Brevstemmeprotokol NFS KMD Begravelseshjælp EG vielsessystem NemID Ekstranet.e-boks.dk /Digital Post Kontorsystemer: Acadre ESDH Office 2010 Internet Explorer MS Lync Kruse Blanketsystem Zycall (omstillingssystem) Next (nummersystem) SD medarbejdernet Adspurgt oplyste Allerød Kommune, at kommunen er i besiddelse af databehandleraftaler med sine databehandlere. Allerød Kommune oplyste endvidere, at der ikke umiddelbart indgås aftaler for det enkelte system. Det blev aftalt, at Allerød Kommune sender Datatilsynet en kopi af kommunens databehandleraftaler med KMD, samt oplyser om evt. KMD-systemer i kommunen, hvor KMD ikke er databehandlere. Datatilsynet orienterer herefter generelt om databehandleraftaler. 2

3 Hvor har borgerne mulighed for at benytte kommunens computere til digital selvbetjening? Allerød Kommune oplyste, at der på rådhuset, Bjarkesvej er 4 selvbetjenings pc er. Herudover vil der blive etableret 9 selvbetjenings-pc ere på kommunens bibliotek (er pt. under ombygning). Allerød Kommune oplyste endvidere, at det er muligt for borgeren at downloade på de pågældende borger-pc er, og at der ligger en virtuel pc på borger-pc erne, hvilket sikrer at eventuelt downloadet indhold bliver slettet, når pc en benyttes af en ny borger. Tilbyder kommunen borgerne undervisning i digital selvbetjening? Allerød Kommune oplyste, at biblioteket har udbudt undervisning til borgere gennem en årrække. Hvilken instruktion har kommunen givet de medarbejdere, der skal bistå borgerne med digital selvbetjening? Allerød Kommune oplyste, at alle borgerservicemedarbejdere er uddannet digitale ambassadører fra KL s koncept, og at der afholdes løbende workshops for relevante medarbejdere i forbindelse med aktuelle selvbetjeningsløsninger. Der deltages ligeledes i kampagner fra digitaliseringsstyrelsen samt KL s bølgeplaner Efterlevelse af sikkerhedsbekendtgørelsen og de skærpede krav til datasikkerheden i borgerservicecentre (jf. vejledningen Datasikkerhed i borgerservicecentre ) 2.1. Uddybende sikkerhedsregler og instruktion Har kommunen uddybende sikkerhedsregler? Datatilsynet oplyste, at det følger af sikkerhedsbekendtgørelsens 5, at den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler som fremgår af sikkerhedsbekendtgørelsen. I forhold til de fra Allerød Kommune modtagne sikkerhedsregler, bemærkede Datatilsynet, at disse er for generelt formulerede. Uddybende sikkerhedsregler efter sikkerhedsbekendtgørelsen 5 skal beskrive, hvordan bestemmelsen i sikkerhedsbekendtgørelsen efterleves i praksis. Som eksempler på afsnit i sikkerhedsreglerne der er for generelle pegede Datatilsynet bl.a. på reglerne om uddatamateriale efter sikkerhedsbekendtgørelsens 13 og informationsudveksling efter 14. Datatilsynet oplyste endvidere, at det følger af Datasikkerhed i borgerservicecentre regler og praksis, at der skal foretages logning, samt at Allerød Kommune skal foretage stikprøvekontrol af loggen. 3

4 Adspurgt bekræftede Allerød Kommune, at versionen, forinden informationssikkerhedspolitikken af 19. november 2014, er fra 1. marts Indeholder kommunens uddybende sikkerhedsregler særlige bestemmelser om borgerservicecentre? Allerød Kommune oplyste, at kommunen anvender vejledning om datasikkerhed i borgerservicecentre som udgangspunkt. Har alle medarbejderne i borgerservice fået særlig instruktion i datasikkerhed? Allerød Kommune oplyste, at alle kommunens medarbejdere instrueres i datasikkerhed ved ansættelse via undervisning og vejledningsmaterialet Jeg er ny it-bruger. Allerød Kommune oplyste endvidere, at medarbejderne får en basal indføring i it-brug, herunder afsendelse af , men at der ikke forefindes en fast opfriskning af medarbejdernes viden om og opmærksomhed på regler og procedure vedrørende datasikkerhed Teknisk adgangskontrol og opsætning af rettigheder Indeholder systemerne eller nogle af disse muligheder for at begrænse medarbejdernes adgang til bestemte dele af systemet, og hvordan er disse i givet fald indrettet? Allerød Kommune oplyste, at medarbejdernes adgang er begrænset ved sagstyper (fx borgersag), adgangskoder (følsomhed) og sagsområder (organisatorisk). Allerød Kommune oplyste uddybende dertil, at sagsbehandlere som udgangspunkt kun har adgang til sager indenfor eget område (afdeling/gruppe), der er svarende til faglig kompetence, og at medarbejderne autoriseres til sagstyper (f.eks borgersager), og at denne adgang er yderligere begrænset med krav om særlige adgangskoder fsva. sager med oplysninger af følsom karakter. Desuden oplyste Allerød Kommune, at de medarbejdere, som ikke er autoriserede til bestemte sager, ikke vil kunne se disse sager i systemet. Datatilsynet bemærkede, at det af Allerød Kommunes sikkerhedspolitik fremgår, at autorisationer kontrolleres årligt. Dertil oplyste Datatilsynet, at kontrollen skal opdateres mindst én gang hvert halve år for så vidt angår anmeldelsespligtige behandlinger. Datatilsynet henstillede til, at Allerød Kommune tilretter sin sikkerhedspolitik. Bruger kommunen de muligheder for adgangsbegrænsning, som løsningerne indeholder? Allerød Kommune oplyste, at adgange er differentieret i.f.t. stedlig og saglig kompetence. Anvendes der løsninger, hvor adgangen sker ved brug af en fælles kode? Allerød Kommune oplyste, at Fælles login ikke er brugt eller tilladt. Alle adgange tildeles med individuelle login til navngivne brugere. Hvem bestemmer, hvilke systemer de enkelte medarbejdere skal tildeles adgang til? 4

5 Allerød Kommune oplyste, at proceduren er, at afdelingschefen laver en bestilling til ITherefter udfører IT opgaven efter de gældende sikkerhedsregler. Hvordan sikrer kommunen, at rettighederne bliver ændret, hvis en medarbejder skifter job? Allerød Kommune oplyste, at proceduren er, at ansvarlig afdelingschef meddeler ændring til Helpdesk, der så ændrer i Active Directory og koordinerer ændringer. Allerød Kommune oplyste desuden, at den enkelte sagsbehandlers konkrete behov forinden afklares på funktionslederniveau Adgang til andre myndigheders systemer Har medarbejderne i borgerservicecentret adgang til andre myndigheders systemer, herunder f.eks. CPR, systemer SKAT er ansvarlig for, systemer politiet er ansvarlig for eller andre? I bekræftende fald, foreligger der særlige retningslinjer eller aftaler vedrørende medarbejdernes brug af de andre myndigheders systemer? Et eksempel herpå er bekendtgørelsen om kommunernes borgerbetjening på skatteområdet. Allerød Kommune oplyste, at borgerservicemedarbejderne har adgang til: 1. Cpr. 2. SKAT 3. UIP ( Udlændinge styrelses system) 4. Rigspolitiet ( kørekort + pas) 5. Udbetaling Danmark (KMD Pension sagsdel) Der foreligger ikke særlige retningslinjer på området Stikrøvekontrol af loggen Hvor ofte foretages der stikprøvekontrol af loggen? Allerød Kommune oplyste, at der pt. ikke foretages systematisk kontrol af logs. Allerød Kommune oplyste samtidig, at der er planer om at implementere log management system, der sammen med retningslinjer for systemejerens tilsyn kan formalisere en reel kontrol i.f.t. en Plan-Do-Check-Act (PDCA) struktur. Datatilsynet oplyste hertil, at tilsynet vejledningen: Datasikkerhed i Borgerservicecentre har henstillet til, at kommunen foretager stikprøver i log i borgerservicecentre. Datatilsynet henstillede der til, at Allerød Kommune får etableret en stikprøvekontrol af loggen. Allerød Kommune oplyste i den forbindelse, at kommunen straks vil iværksætte stikprøvekontroller, og at den på sigt vil supplere med en automatiseret overvågning af loggen. Bliver nye medarbejdere orienteret om, at der sker stikprøvekontrol af loggen? 5

6 Allerød Kommune oplyst, at nye medarbejdere bliver oplyst om stikprøver i loggen. Datatilsynet bemærkede i den forbindelse, at også nye medarbejdere skal orinteres Skærmlås og/eller automatisk log off Anvendes der skærmlås og/eller automatisk log off på alle arbejdsstationer? Allerød Kommune oplyste, at der gives medarbejdere instruktion om at låse deres PC, når den forlades, at computeren automatisk logger af efter en periode. Hvor lang tid skal der være uden aktivitet, førend skærmlås eller automatisk log off aktiveres? Allerød Kommune oplyste, at automatisk log off sker efter 5 minutters inaktivitet. Kan medarbejderne ændre intervallet eller fravælge funktionerne? (skærmlås eller automatisk log off) Allerød Kommune oplyste, at dette er styret af administratorer via politikker, og at de enkelte brugere ikke kan foretage ændringer, da de ikke har administrationsrettigheder Digital kommunikation med borgerne Er medarbejderne i borgerservicecentret instrueret i, hvornår personoplysninger må sendes i via internet, og hvornår og hvordan sikker post skal anvendes? Allerød Kommune oplyste, at, medarbejderne i Borgerservice er orienteret om, hvordan personoplysninger skal håndteres i forbindelse med brug af . Datatilsynet påpegede, at det bør fremgå af Allerød Kommunes uddybende sikkerhedsregler, hvornår personoplysninger må sendes i via internettet. Hvilke løsninger til fremsendelse af sikker post anvender kommunen, herunder f.eks. sikker post, den fællesoffentlige digitale post-løsning? Allerød Kommune oplyste, at kommunen anvender Doc2Mail, Sikker Post og Fællesoffentlig digital post. Er kommunen opmærksom på sikkerhedskravene ved anskaffelse eller udvikling af løsninger til digital selvbetjening på nettet? Allerød Kommune oplyste, at Kommunen ikke udvikler sine egne digitale selvbetjeningsløsninger, og at sikkerhedskrav indgår som en væsentlig vurdering ved valg af eksterne standardløsninger. Datatilsynet tilkendegav, at Allerød Kommune før ibrugtagning af nye systemer skal sikre sig, at behandling af personoplysninger heri lever op til sikkerhedsbekendtgørelsen Placering af it-udstyr Er skærme placeret, så uvedkommende ikke kan se indholdet? 6

7 Allerød Kommune oplyste, at der er monteret skærmfiltre, som besværliggør uvedkommendes medkig. Er printere, kopimaskiner mv. placeret, så uvedkommende ikke har adgang til udskrifter mv.? Allerød Kommune oplyste, at udgangspunktet for den fysiske sikring er, at der ikke er adgang for borgere udenfor borgerportalen. Printere/kopimaskiner indenfor Borgerportalen er placeret bag publikumsområdet og er udstyret med follow me print (SafeCom), så print forudsætter login og tilstedeværelse af medarbejder. 3. Sikkerheden på de pc ere, der benyttes af borgerne eller af de medarbejdere, der bistår borgerne Beskriv sikkerheden på de computere, der benyttes af borgere eller hos de medarbejdere, der bistår borgere? Allerød Kommune oplyste, at borgeren skal anmode om et brugernavn og password, før at borgeren kan logge ind på selvbetjenings-pc erne. Selvbetjenings-pc erne nulstilles ved hvert login systemmæssigt og datamæssigt, så data ikke overføres fra en bruger til den næste, og så maskinerne ikke inficeres med malware. Evt. skan af dokumenter gemmes på USB-nøgle, der slettes af sagsbehandler. I hvilket omfang der benyttes antivirusbeskyttelse, firewall, webfiltering (URL-filter) eller andet? Allerød Kommune oplyste, at der på maskinerne er installeret Microsoft SCCM Endpoint Protection, Antivirus, Windows Firewall integration og Network Inspektion System. Har brugerne af de computere, som stilles til rådighed for borgere, administratorrettigheder? Nej Beskriv proceduren til sikring af, at de computere, som stilles til rådighed for borgere, er sikkerhedsmæssigt opdaterede. Allerød Kommune oplyste, at pc ere nulstilles ved hvert login systemmæssigt og datamæssigt, så data ikke overføres fra en bruger til den næste, og så maskinerne ikke inficeres med malware. Allerød Kommune oplyste endvidere, at der sker en løbende opdatering, og at kritiske opdateringer sker med det samme. Benytter kommunen værktøjer som pc-takeover/skyggefunktion i forbindelse med bistand til borgere? Allerød Kommune oplyste, at borgeren bistås efter behov med fysisk medbetjening. 7

8 4. Besigtigelse 5. Aftalt Ved besigtigelse af borgerservicecentret konstaterede Datatilsynet, at de borger-pc er, som stilles til rådighed i Borgerservice, ikke foretager automatisk log-off. Datatilsynet opfordrede til, at sådan automatisk log-off indføres. I øvrigt fandt Datatilsynet ikke anledning til bemærkninger. Aftalt med Allerød Kommune, at: 1) Allerød Kommune i forhold til de anvendte systemer som anført i pkt. 1 eftersender en kopi af kommunens databehandleraftaler med KMD, samt oplyser om evt. KMD-systemer i kommunen, hvor KMD ikke er databehandlere. 2) Allerød Kommunes iværksætter stikprøvekontrol af loggen i overensstemmelse med vejledningen Datasikkerhed i Borgerservicecentre med virkning fra 20. november ) Allerød Kommunes uddybende sikkerhedsregler skal udformes mere konkret, så der bliver konkretiseret procedurer for bl.a. uddatamateriale efter sikkerhedsbekendtgørelsens 13 og informationsudveksling efter 14 samt angivelse af dato og versionsoversigt. 6. Datatilsynet vil snarest vende tilbage med et opfølgende brev med tilsynets eventuelle kritikpunkter. 8