Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder

Relaterede dokumenter
3. Spørgsmål om indsigt i loggen over opslag og søgninger i CPR.

GENEREL KRAVSPECIFIKATION TILLÆG

Fællesregional Informationssikkerhedspolitik

Vejledning til ledelsestilsyn

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

hos statslige myndigheder

Udkast til Bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning i Grønland

5. Persondataloven 5.1. Indsamling, behandling, behandlingssikkerhed, videregivelse og oplysningspligt Indsamling Behandling

Borgerrådgiverens hovedopgave er først og fremmest dialog med borgerne i konkrete sager en mediatorrolle, hvor det handler om at:

Forberedelser forud for EU s databeskyttelsesforordning. 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

DATABEHANDLERAFTALE. Om behandling af personoplysninger og lokalforeningsoplysninger i FDF. Indgås mellem

Rigsrevisionens notat om beretning om SKATs forvaltning af og Skatteministeriets tilsyn med refusion af udbytteskat

Bilag 1 Databehandlerinstruks

Bekendtgørelse om EU- og EØS-statsborgeres adgang til udøvelse af virksomhed som autoriseret sundhedsperson 1)

Informationssikkerhedspolitik

Samarbejde om arbejdsmiljø på midlertidige eller skiftende arbejdssteder på bygge- og anlægsområdet

Kommissorium for Revisionsudvalget. Juni 2016

Samarbejdsaftale mellem Finanstilsynet og Forbrugerombudsmanden vedrørende finansielle virksomheder

Sikkerhedsregler for Kalundborg Kommune

Bekendtgørelse om åben uddannelse på videregående niveau

Kommissorium for Revisionsudvalget i Spar Nord Bank A/S

Informationssikkerhed

Konstatering af overtrædelser

Indstilling. Århus Kommune Magistratsafdelingen for Sociale Forhold og Beskæftigelse

Erhvervsstyrelsens udtalelse af 3. juli 2014 om revisors uafhængighed i relation til hvervet som depositar

Bekendtgørelse af lov om digital løsning til brug for anmeldelse af sygefravær og anmodning om refusion og tilskud m.v.

Aktindsigt Relevante lovregler

Forretningsorden for Haderslev Katedralskole s bestyrelse

DATAT I LSYN ET 02 FEB Hedensted Kommune Niels Espes Vej Hedensted. Hedensted Kommui

Notat om håndtering af aktualitet i matrikulære sager

Præcisering af gældende regler

Om Fødevarestyrelsen, Fødevareregionerne og Dataloven. Fødevarestyrelsens og Fødevareregionernes håndtering af personoplysninger efter Dataloven

Retsinformation. Lovgivning som forskriften vedrører. LBK Nr. 452 af 24/06/1998. Oversigt (indholdsfortegnelse)

Rigsrevisionen hvad er det? Rigsrevisionen. Landgreven 4 Postboks København K. Tlf Fax

Arbejdsmiljøgruppens problemløsning

Bekendtgørelse for Færøerne om anerkendelse af psykologers erhvervsmæssige kvalifikationer

VEJLEDNING FORSKELSBEHANDLING HANDICAP OG OPSIGELSE

Persondataloven hvad er nyt?

Redegørelse for kvalitets- og tilsynsbesøg Hjemmepleje 2014

Vejledning om mulighederne for genoptagelse efter såvel lovbestemte som ulovbestemte regler. 10. april 2013

Fritidstilbud for unge under 18 år efter Dagtilbudsloven og Lov om social service.

Notat. Ankestyrelsens praksisundersøgelse om kommunernes

Guldborgsund Kommunes Kvalitetsstandard

Ankestyrelsens principafgørelse om hjemmehjælp - kvalitetsstandard - indkøbsordning - rehabiliteringsforløb

Bekendtgørelse om regnskab og revision af statsanerkendte museer m.v.

Kvalitetsrapporter. Folkeskolelovens bestemmelser om kvalitetsrapporter. Almindelige bemærkninger til lovforslag der vedrører den nye kvalitetsrapport

Forretningsgang for udbetaling af tabt arbejdsfortjeneste.

Kommune kunne ikke undtage oplysninger om en forpagtningsafgifts størrelse samt beregningen heraf fra aktindsigt. 2.

1. udkast. Beretning. svindel med refusion af udbytteskat

Funktionsbeskrivelse. for. Intern Revision. Københavns Kommune

Databehandlerinstruks

Databehandleraftale. mellem. [Virksomhed] [Adresse] [Postnr.] [By] [CVR nr.] (herefter kaldet Databehandler)

Michael Teschl Etik Portalerne ApS Lotusvej København S. Sendt til:

Herlev Kommune Social- og Sundhedsforvaltningen Herlev Bygade Herlev.

Bekendtgørelse om den statslige fleksjobordning for tilskudsmodtagere

Vejledning til rapport om udbud af spil 1/5

Frederiksberg Kommune. Sundheds og Omsorgsafdelingen

Beretning til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder. November 2014

KENDELSE. afsagt af Konkurrenceankenævnet den 14. februar 2011 i sag nr

Forbuddet mod ansættelse omfatter dog ikke alle stillinger. Revisor er alene begrænset fra at:

It-revision af Sundhedsdatanettet januar 2016

Pensionister - helbredstillæg

Vedtægter for. Fonden Dansk Sygeplejehistorisk Museum

Ministeriet for Børn, Undervisning og Ligestilling Frederiksholms Kanal København K

Samtale om ansats loyalitet efter debatindlæg var i strid med reglerne om offentligt ansattes ytringsfrihed. 14.

Forskning på afdøde er reguleret af såvel komitéloven som af sundhedsloven 2.

Bekendtgørelse om adgangskursus og adgangseksamen til ingeniøruddannelserne

HØJESTERETS DOM afsagt onsdag den 9. september 2015

Retningslinier for adgangsstyring til Banedanmarks informationsaktiver.

Transkript:

Den 12. november 2014 J.nr. 2014103514 Ref.: kj Handlingsplan for bedre behandling af fortrolige oplysninger om personer og virksomheder Sundhedsstyrelsens opfølgning på Rigsrevisionens beretning af 5. november 2014 til Statsrevisorerne om statens behandling af fortrolige oplysninger om personer og virksomheder 1 BAGGRUND Rigsrevisionen har i starten af 2014 gennemført en tværgående undersøgelse af, hvordan en række statsinstitutioner herunder Sundhedsstyrelsen beskytter fortrolige oplysninger om personer og virksomheder. Rigsrevisionens undersøgelse blev, for så vidt angår Sundhedsstyrelsen, udført i relation til to it-systemer: ULS (Udleveringstilladelser), der understøtter Sundhedsstyrelsens behandling af ansøgninger fra læger, dyrlæger og tandlæger om udlevering af lægemidler, der ikke er markedsført i Danmark KAT (Kategorisering af totaloplysninger om lægemidler), der er et fagsystem, som anvendes i forbindelse med godkendelse og markedsføring af lægemidler I Rigsrevisionens beretning af 5. november 2014 til Statsrevisorerne om resultaterne af undersøgelsen påpeges enkelte mangler i Sundhedsstyrelsens informationssikkerhed. I det følgende besvarer Sundhedsstyrelsen punkt for punkt Rigsrevisionens kritiske bemærkninger i forbindelse med undersøgelsen. 2 BESKYTTELSE AF FØLSOMME PERSONOPLYSNINGER 2.1 RETNINGSLINJER Det fremgår af 5 i bekendtgørelse om sikkerhedsforanstaltninger til beskyttelse af personoplysninger, som behandles for den offentlige forvaltning (sikkerhedsbekendtgørelsen), at: Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Bestemmelserne skal navnlig omfatte orga-

nisatoriske forhold og fysisk sikring, herunder sikkerhedsorganisation, administration af adgangskontrolordninger og autorisationsordninger samt kontrol med autorisationer. Der skal endvidere fastsættes instrukser, som fastlægger ansvaret for og beskriver behandling og destruktion af ind- og uddatamateriale samt anvendelse af edb-udstyr. Desuden skal der fastsættes retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. De interne bestemmelser skal gennemgås mindst én gang hvert år med henblik på at sikre, at de er fyldestgørende og afspejler de faktiske forhold i myndigheden. Sundhedsstyrelsen mangler enkelte specifikke retningslinjer. Sundhedsstyrelsen har ikke opdateret alle it-sikkerhedsmæssige retningslinjer inden for det seneste år. Vi vil inden udgangen af 2014 have udarbejdet de manglende retningslinjer, herunder de retningslinjer for distancearbejdspladser, som er specifikt nævnt i Rigsrevisionens rapport. Vi indfører derefter, dvs. pr. 1. januar 2015, procedurer, der sikrer, at alle vores interne retningslinjer bliver gennemgået mindst en gang om året. 2.2 KONTROL AF BRUGERADGANGE Det fremgår af sikkerhedsbekendtgørelsens 11 og 17, at: Kun de personer, som autoriseres hertil, må have adgang til de personoplysninger, der behandles. Der må kun autoriseres personer, der er beskæftiget med de formål, hvortil personoplysningerne behandles. De enkelte brugere må ikke autoriseres til anvendelser, som de ikke har behov for. Det skal sikres, at de autoriserede personer fortsat opfylder betingelserne i 11, stk. 2 og 3, og 16. Kontrol heraf skal foretages mindst en gang hvert halve år. Sundhedsstyrelsen har defineret, hvem der må have adgang til det undersøgte system, og har godkendt de pågældendes autorisationer. Sundhedsstyrelsen udfører ikke halvårlig kontrol af, om brugerne (stadig) har et arbejdsbetinget behov for at have adgang til systemet. Sundhedsstyrelsen har indgået aftale med it-driftsleverandøren af det omhandlede system (databehandleren) om, at denne to gange årligt igangsætter en proces, hvorefter den systemansvarlige i Sundhedsstyrelsen gennemgår og godkender brugernes adgangsrettigheder til systemet. Denne proces forløber dog ikke tilfredsstillende. Vi har derfor skærpet overvågningen af, at processen igangsættes og gennemføres til tiden. Vi forventer, at kontrollen af brugeradgange fra og med 1. januar 2015 fungerer i fuld overensstemmelse med reglerne i sikkerhedsbekendtgørelsen. 2

2.3 KONTROL MED AFVISTE ADGANGSFORSØG Det fremgår af sikkerhedsbekendtgørelsens 18, at: Der skal foretages registrering af alle afviste adgangsforsøg. Hvis der inden for en fastsat periode er registreret et nærmere fastsat antal på hinanden følgende afviste adgangsforsøg fra samme arbejdsstation eller med samme brugeridentifikation, skal der blokeres for yderligere forsøg. Der skal løbende ske opfølgning i myndigheden. Sundhedsstyrelsen registrerer afviste forsøg på at få adgang til systemet. Sundhedsstyrelsen låser systemet, hvis der forekommer flere forgæves forsøg på at få adgang. Sundhedsstyrelsen følger ikke regelmæssigt op på, om der har været afviste forsøg. Sundhedsstyrelsens it-driftsleverandør gennemgår hver måned alle uautoriserede adgangsforsøg. Sundhedsstyrelsen bliver via månedsrapporter fra it-driftsleverandøren orienteret om adgangsforsøgene. Vi mangler imidlertid interne retningslinjer om, hvordan og ud fra hvilke kriterier vi følger op på adgangsforsøgene. Sådanne retningslinjer vil blive udarbejdet inden 1. januar 2015. 2.4 OPMÆRKSOMHED PÅ MEDARBEJDERNES OPSLAG I SYSTEMERNE Det fremgår af sikkerhedsbekendtgørelsens 19, at: Der skal foretages maskinel registrering (logning) af alle anvendelser af personoplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium. Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov kan opbevare loggen i op til 5 år. Sundhedsstyrelsen registrerer medarbejdernes opslag på enkeltpersoner. Sundhedsstyrelsen sletter ikke registreringerne efter 6 måneder. Vi har efter Rigsrevisionens undersøgelse ændret praksis, således at registreringerne nu i overensstemmelse med sikkerhedsbekendtgørelsen slettes efter 6 måneder. 2.5 AFTALER MED DATABEHANDLERE Det fremgår af persondatalovens 42, at: Når en dataansvarlig overlader en behandling af oplysninger til en databehandler, skal den dataansvarlige sikre sig, at databehandleren kan træffe de i 41, stk. 3-5, nævnte tekniske og organisatoriske sikkerhedsforanstaltninger, og påse, at dette sker. Endvidere fremgår det af sikkerhedsbekendtgørelsens 7, at: 3

Hvis behandling af personoplysninger foretages af en databehandler på den dataansvarliges vegne, skal der foreligge en skriftlig aftale, hvoraf det fremgår, at reglerne i denne bekendtgørelse ligeledes gælder for behandlingen ved databehandleren. Sundhedsstyrelsen har indgået skriftlig aftale med databehandleren med det fornødne indhold. Sundhedsstyrelsen har ikke fulgt op på aftalen, men har indhentet en generel revisorerklæring. Den generelle revisorerklæring er efter Rigsrevisionens opfattelse ikke tilstrækkelig til at opfylde sikkerhedsbekendtgørelsens krav. Sundhedsstyrelsens it-driftsleverandør (databehandleren) får årligt udarbejdet en ISAE 3000- erklæring af en uafhængig revisor om leverandørens overholdelse af persondataloven. Erklæringen er offentligt tilgængelig på leverandørens hjemmeside. Herudover følger vi op på databehandleraftalen ved månedlige driftsrapporteringer fra databehandleren, hvori sikkerhed indgår, audits på udvalget områder samt som led i den normale daglige drift. Det er vores vurdering, at Rigsrevisionens kritik af vores opfølgning på databehandleraftalen beror på en misforståelse opstået i forbindelse med vores udlevering af dokumenter i forbindelse med revisionen. Vi finder intet grundlag for at betvivle, at databehandlerens sikkerhedsforanstaltninger er fuldt tilstrækkelige. 2.6 EGET TILSYN MED SIKKERHEDSFORANSTALTNINGER Det fremgår af sikkerhedsbekendtgørelsens 5, at: Den dataansvarlige myndighed skal fastsætte nærmere interne bestemmelser om sikkerhedsforanstaltninger i myndigheden til uddybning af de regler, der fremgår af denne bekendtgørelse. Desuden skal der fastsættes retningslinjer for myndighedens tilsyn med overholdelsen af de sikkerhedsforanstaltninger, der er fastsat for myndigheden. Sundhedsstyrelsen har ingen retningslinjer for eget tilsyn med sikkerhedsforanstaltninger. Sundhedsstyrelsen har udført kontrol af udvalgte punkter i sikkerhedsbekendtgørelsen. Retningslinjer for Sundhedsstyrelsens eget tilsyn med de fastsatte sikkerhedsforanstaltninger vil blive udarbejdet inden 1. januar 2015. 4

3 BESKYTTELSE AF FORTROLIGE OPLYSNINGER OM VIRK- SOMHEDER Der findes ikke en tilsvarende lov [dvs. svarende til persondataloven] som beskytter fortrolige oplysninger om private virksomheder, men krav til beskyttelse af oplysninger kan i nogle tilfælde være omfattet af særlovgivning. Det betyder ikke, at fortrolige oplysninger om virksomheder ikke bør beskyttes. Private virksomheder har ikke noget valg i forhold til, om de vil aflevere oplysninger til offentlige myndigheder, da indsamlingen sker som led i en myndighedsopgave. Ofte er oplysningerne væsentlige for virksomhedens konkurrencesituation og måske endda fortsatte overlevelse. Derfor har virksomhederne en rimelig forventning om, at de statslige institutioner beskytter de indsamlede oplysninger tilstrækkeligt. Statslige institutioner har fra januar 2014 skullet tilrettelægge deres styring af informationssikkerheden efter ISO 27001-sikkerhedsstandarden som erstatning for DS 484. Institutionerne skal etablere sikkerhedsforanstaltninger vedrørende private virksomheders fortrolige oplysninger på en måde, som er tilstrækkelig og dækkende i forhold til oplysningernes følsomhed og betydning. Der er stort sammenfald mellem kravene i persondataloven og bedste praksis for beskyttelse af visse virksomhedsoplysninger i standarderne. 3.1 OPDATEREDE RETNINGSLINJER Sundhedsstyrelsen har ikke opdaterede retningslinjer for beskyttelse af fortrolige oplysninger om virksomheder (idet retningslinjerne ikke var blevet opdateret inden for det seneste år). Sundhedsstyrelsens retningslinjer for beskyttelse af fortrolige oplysninger bliver opdateret efter behov og mindst en gang hvert tredje år. Sundhedsstyrelsen er akkrediteret af DANAK på flere områder, og DANAK er tilfreds med en fuldstændig opdatering hvert tredje år. Vi har på denne baggrund bedt Rigsrevisionen om at revurdere kravet om en årlig opdatering et krav der efter vores opfattelse hverken er relevant eller i overensstemmelse med best practice. Hvis Rigsrevisionen fastholder, at retningslinjerne under alle omstændigheder skal opdateres mindst en gang om året, vil Sundhedsstyrelsen indføre en sådan praksis fra 1. januar 2015. 3.2 BRUGERADGANGE Sundhedsstyrelsen følger en procedure for oprettelse af brugere, som sikrer, at alene de brugere, som har et arbejdsbetinget behov, får adgang til fortrolige virksomhedsoplysninger i systemet. 5

Sundhedsstyrelsen gennemgår ikke brugernes rettigheder med et passende interval. Vi er i gang med at ændre vores procedurer, således at kontrollen af brugeradgange fra og med 1. januar 2015 foretages mindst to gange om året. Se i øvrigt sidste afsnit under punkt 2.2. 3.3 REGISTRERING AF OPSLAG (LOGNING) Sundhedsstyrelsen registrerer i tilstrækkeligt omfang medarbejdernes opslag og ændringer i systemet. 3.4 DATABEHANDLERAFTALE Sundhedsstyrelsen har indgået en skriftlig aftale med ekstern databehandler. Sundhedsstyrelsen følger op på databehandleraftalen ved at indhente en revisorerklæring. 3.5 RISIKOVURDERING Sundhedsstyrelsen har ikke en opdateret risikovurdering for det undersøgte system. Sundhedsstyrelsen havde ikke en opdateret risikovurdering, da revisionen fandt sted. Vi har imidlertid i oktober 2014 afsluttet en risikovurdering af systemet. 6

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback