30/2020 Skriftlig spørsmål til fylkesrådet fra Maren Winnem (H) om personopplysninger på avveie

  • Nummer: 30/2020
  • Dato innsendt: 08.06.2020
  • Dato besvart: 18.06.2020

Skriftlig spørsmål til fylkesrådet fra Maren Winnem (H) om personopplysninger på avveie

Viken fylkeskommune publiserte personopplysninger om nær 4.800 søkere og elever. På bakgrunn av den hendelsen er det grunn til å stille følgende spørsmål:

  1. Den uønskede hendelsen
    1. Kan vi få en redegjørelse for nøyaktig hvordan dette har skjedd?
    2. Hvor lang tid gikk det fra publisering fant sted til avviket ble oppdaget?
    3. Hvor lang tid gikk det fra avviket ble oppdaget til det var lukket?
    4. Hvor lang tid tok det fra avviket ble oppdaget til de berørte ble varslet om hendelsen?
    5. Hvor lang tid tok det fra avviket ble oppdaget til Datatilsynet ble varslet om hendelsen?
    6. Hvor lang tid tok det fra avviket ble oppdaget til Personvernombudet ble varslet om hendelsen?
  2. Oppfølging av ofrene
    1. Hvordan følger man opp de berørte i etterkant av oppdagelsen av bruddet?
    2. Det sies at det har vært 42 nedlastinger av filen. Hva har fylkeskommunen gjort for å forsøke å finne disse 42?
    3. Hvis det er slik at disse 42 har lagret filen på sine PC'er så kan opplysningene komme på avveie igjen senere. Vil fylkeskommunen fortsette arbeidet med å finne flest mulig av de 42?
  3. Grunnleggende ansvar og struktur
    1. Det tyder på at dette er en menneskelig svikt (Det vises til at avviksmeldingen sier så). Hvilke tiltak har Viken fylkeskommune gjort for å påse at slike avvik ikke gjentar seg?
    2. Hvor mange steder herunder ulike pcer finnes filer med personnummer?
    3. Hvilke systemer har Viken fylkeskommune i dag for å sikre en god flyt av data mellom ulike applikasjoner?
    4. Hvor mange kan publisere saker ut på VIken.no?
    5. Hvilke rutiner har man i Viken for publisering?
    6. Hvilke kontroll-rutiner har man i forhold til publisering?
    7. Hvor mange varsler er sendt fra Viken Fylkeskommune til Datatilsynet og hva er eventuelt, status for disse hendelsene?
    8. Fylkeskommunen sier de ikke kan spore hvem som har gjort, men samtidig er det vel spesielt at fylkeskommunen ikke har tracking på sine systemer. Hva er årsaken til det?
  4. Forbedring av datahåndtering og persondatabeskyttelse
    1. Vi forstår at dette er en svikt i rutiner og at dette aldri skulle skjedd. Kan fylkesrådet belyse hvilket potensiale Vikenskolen har for i større grad å automatisere prosesser, på en slik måte at datasikkerheten styrkes og personvernhensyn blir bedre ivaretatt? Eksempler på dette kan være autopublisering eller tidsstyrte publisering av informasjon til ulike applikasjoner/nettsteder basert på gitte kriterier, fremfor manuell publisering av ulike rapporter/data/lister.
    2. Kan fylkesrådet beskrive prosessen for oss, hvordan vi håndterer en tilsvarende alvorlig hendelse knyttet til datasikkerhet og personvern neste gang?
    3. Hvilken kunnskap mener fylkesrådet denne hendelsen har gitt oss i arbeidet med konkrete forbedringer?
    4. Er det andre deler av Viken fylkeskommune som har noe å lære av denne hendelsen?
    5. Kan fylkesrådet beskrive det systematiske forbedringsarbeidet Viken fylkeskommune rutinemessig gjør ved slike typer alvorlige avvik/feil?
    6. Hvordan øves det på slike kriser og hendelser?
    7. Hvilke kurs/opplæring eksisterer for ansatte som behandler sensitiv informasjon om GDPR og personvern?
    8. Hvordan jobbes det systematisk med datasikkerhet og personvern i opplæring og trening av ledere i Viken?
    9. Hvilke muligheter har innbyggere(elever) for å spore hvem som har/har hatt tilgang til, eller har ønsket tilgang til data som er lagret om dem?
    10. Hvilke tiltak er igangsatt for å innarbeide elektronisk ID, som for eksempel MinID i Viken Fylkeskommune?
    11. Hvordan sikres det i fremtiden at personnummer ikke lagres mer enn der det er strengt tatt nødvendig?

Svar fra fylkesråd for utdanning og kompetanse Siv Henriette Jacobsen

Jeg vil i det følgende svare ut spørsmålene fra representanten.

1. Den uønskede hendelsen

a. Kan vi få en redegjørelse for nøyaktig hvordan dette har skjedd?

Ukentlig legger rådsområdet ut statistikk som viser hvordan status formidling til læreplass ser ut, og statistikken legges ut på vår hjemmeside(viken.no) i form av en Excel-bok med flere ark. Her ligger det blant annet opplysninger om antall søkere til hvilke fag og oversikt over avgiverskolen til den enkelte søker. Ved en feiltakelse ble det i uke 23 publisert et ark i nevnte Excel-bok med navn på søkere, telefonnummer, epost og fødsels- og personnummer. Dette arket skulle vært fjernet før oversikten ble gjort tilgjengelig.

b. Hvor lang tid gikk det fra publisering fant sted til avviket ble oppdaget?

Statistikken ble publisert mandag 25.5, og avviket ble oppdaget den 27.5 kl 15.39. Det tok med andre ord 2 dager fra publisering til at avviket ble oppdaget.

c. Hvor lang tid gikk det fra avviket ble oppdaget til det var lukket?

Ansvarlig seksjon lukket avviket umiddelbart etter at vi fikk beskjed om at opplysningene var synlige, altså minutter etter at avviket ble oppdaget.

d. Hvor lang tid tok det fra avviket ble oppdaget til de berørte ble varslet om hendelsen?

De berørte ble varslet via epost fredag 29.5, altså to dager etter at avviket var lukket, etter at vi hadde fått veiledning av personvernombudet.

e. Hvor lang tid tok det fra avviket ble oppdaget til Datatilsynet ble varslet om hendelsen?

Avviket ble meldt inn fra Personvernombudet til Datatilsynet fredag 29.5 kl. 12.20.

f. Hvor lang tid tok det fra avviket ble oppdaget til Personvernombudet ble varslet om hendelsen?

Personvernombudet ble varslet via epost 27.5 kl 16.41. Personvernombudet ba melder om å sende inn et avviksskjema, og dette ble mottatt av personvernombudet 28.5 kl 12.01.

2. Oppfølging av ofrene

Vi har prioritert høyt å gi de berørte rask oppfølging.

Vi har fått mange henvendelser både pr epost, Pureservice og telefon. Telefonhenvendelser har blitt besvart, men epost-henvendelser vil bli besvart så raskt vi har et kvalitetssikret svar ut fra en kanal. Ny informasjon ble lagt ut på Vikens hjemmeside 12 juni, og ny epost til alle de berørte vil bli sendt ut med lenke til denne informasjonen. Dersom vi får ytterligere henvendelser vil vi svare ut disse fortløpende.

Det benyttes tjenester som logger bruk av våre nettsider. Loggene gir oversikt over bruk av nettsidene, men ikke detaljert informasjon om brukerne.

Logging av detaljert informasjon om bruk av nettsidene vil kunne være et brudd på personvernreglene, og er ikke implementert. Brukerne anonymiseres ved at bare deler av ip-adressen registreres.

I dette tilfelle er det registrert 42 nedlastinger av filen med personopplysninger. Disse er konkretisert til blant annet 11 i «Østfold fylkeskomme sentraladministrasjon», 3 i «Akershus fylkeskommune sentraladministrasjon» og 4 i «Get AS customers». Resterende nedlastinger fordeler seg på 12 andre nettverk. Videre sporing av de nedlastede filene er ikke mulig.

Til orientering logges bruk av tjenester fra internt nettverk og kan følges opp ved sikkerhetsbrudd. Dette er beskrevet på ansattportalen under informasjonssikkerhet og personvern.

Informasjon lagret på ansattes eller elevers pc-er eller lagringsområder er å anse som personlige og innsyn i disse er underlagt strenge krav. Som arbeidsgiver har Viken fylkeskommune begrenset mulighet til innsyn. Innsyn kan kun gjøres når det er nødvendig for å ivareta driften av virksomheten, eller ved mistanke om grove brudd på arbeidstakerens plikter. Innsyn skal i tilfelle gjøres etter et strengt regelverk. Tilsvarende regler gjelder for innsyn i elevers filer. Fylkeskommunen har derfor ingen mulighet til å skaffe oversikt over hva som ligger lagret hos den enkelte. Personopplysninger skal normalt administreres i tilhørende fagsystem.

Flyt av personopplysninger mellom fagsystemer gjøres via fylkeskommunenes integrasjonsløsning, FINT. Informasjon hentes og leveres da kontrollert gjennom definerte grensesnitt.

3. Grunnleggende ansvar og struktur
Jeg bekrefter at årsaken til at personopplysningene lå ute, var menneskelige feil. I tillegg til det jeg har nevnt allerede, har rådsområdet hatt tett dialog med personvernombudet og kommunikasjonsavdelingen for å se på sikre løsninger for publisering av statistikk. Inntil vi har funnet en sikrere løsning blir ikke slik statistikk publisert.

Meldinger til Datatilsynet
Viken fylkeskommune har i 2020 meldt 17 avvik til Datatilsynet.

Av disse er 8 avsluttet av Datatilsynet uten ytterligere oppfølging.

Av de resterende 9 sakene er 6 ferdigbehandlet eller under gjennomføring av tiltak

Rutine ved innmelding av avvik
Viken har definerte rutiner for håndtering av avvik innen informasjonssikkerhet og personvern.

Når det oppdages avvik skal disse meldes på felles avviksskjema som finnes på ansattportalen. Avvik som merkes som «Informasjonssikkerhet – GDPR» sendes til digitaliseringsavdelingens stab for informasjonssikkerhet og personvern for oppfølging. Personvernombudet varsles rutinemessig om alle registrerte avvik. Det innhentes ytterligere informasjon fra melder, før det vurderes om avviket må meldes Datatilsynet. I tvilstilfelle konsulteres digitaliseringsdirektør eller andre han utpeker. Det vurderes om personvernombudet må involveres. Ved melding til Datatilsynet informeres alltid personvernombudet spesielt. Sendes melding til Datatilsynet informeres digitaliseringsdirektør, kommunikasjonsdirektør og ansvarlig fylkesdirektør.

Stab for informasjonssikkerhet og personvern bistår deretter ansvarlig fylkesdirektør med oppfølging, og tar i noen tilfelle hovedansvar for oppfølging.

Datasikkerhet i Viken fylkeskommune
Datasystemer som anskaffes i Viken fylkeskommune skal følge fylkeskommunens arkitekturprinsipper, herunder også prinsipper for informasjonssikkerhet og personvern. Et annet krav er god tilgangsstyring og logging av all bruk av data. Dette gir kontroll på tilganger og mulighet for å spore misbruk. Data skal samles inn en gang ett sted, og deretter spres kontrollert til andre systemer der det er behov for dem. Dette gir oversikt over data og dataflyt, og mulighet for innsyn for den enkelte. Personopplysninger skal lagres etter et definert behov. Informasjon det ikke er behov for skal ikke lagres.

Generelt skal personopplysninger benyttes i minst mulig grad. Personnummer skal kun benyttes der det er behov for det, typisk i HR-systemet eller i det skoleadministrative systemet. Det jobbes med å utvikle nye løsninger for samtykke, der den enkelte enkelt kan bestemme hva som kan benyttes og hvor. Inntil denne løsningen er klar benyttes personopplysninger i minst mulig grad utover det som er nødvendig i de administrative systemene.

Styringsdokumenter og rutiner for informasjonssikkerhet og personvern er under ferdigstillelse, og implementeres forløpende. Alle rutiner dokumenteres på ansattportalen under informasjonssikkerhet og personvern.

Det er innført multifaktor autentisering for alle ansatte. Dette sikrer at det er kontroll på tilgang til Vikens digitale tjenester. Ved overføring av elever til Viken fra de gamle fylkeskommunene tilstrebes det at også elevene skal benytte multifaktor autentisering. I Visma InSchool vil tilgang for foresatte være via MinID.

Hvor mange kan publisere ut på viken.no?
37 ansatte har tilgang til å redigere på ulike deler av viken.no. Av disse har 3 brukere systemtilgang, 19 er tilknyttet seksjon for kommunikasjon. 6 er tilknyttet fagavdelinger som har et selvstendig ansvar for å jevnlig oppdatere noen bestemte sider på nettstedet, i overensstemmelse med de overordnede retningslinjene som er gitt. 11 brukere har begrenset tilgang tilknyttet politisk sekretariat for fylkestinget og fylkesrådet.

Hvilke rutiner har man i Viken for publisering?/ Hvilke kontrollrutiner har man for publisering på viken.no?I bunnen for retningslinjer for publisering ligger bl.a retningslinjer for de tre tidligere fylkeskommunene, utkast til kommunikasjonsstrategi/kanalstrategi for Viken fylkeskommune, lovmessige nasjonale krav og forskrifter, personverndirektivet og ulike veiledninger og retningslinjer som ligger på nettstedet.

De som har publiseringstilgang skal primært oppdatere i hht avtalte strukturer, f.eks. etablerte sider eller lister. Større endringer i nettsiden skal kun gjøres i samarbeid med webredaktør.

En enkel opplæring i de vanligste funksjonene og krav gis før brukere får tilgang. I opplæringen poengteres de viktigste kravene for å sikre brukervennlighet og tilgjengelighet i nettsidene; korrekt formatering, klart språk, færrest mulig dokumenter (kun bruke pdf), kun bruk av bilder vi har rettighet til og korrekt angitt alternativ tekst for synshemmede, god navngiving av alt innhold osv.

Parallelt jobber en mindre webredaksjon med kvalitetssikring gjennom oppfølging av tilbakemeldinger i nettsiden, analyse av webstatistikk, søkeordsanalyse og -forbedring, og generell oppfølging av redaktører (de med publiseringstilgang).

Vi har egne systemer som overvåker kvaliteten på nettstedet og rapporterer på feil og mangler ihht kvalitet og regelverk. Utvidet bruk av dette verktøyet vil bli iverksatt i 2. halvdel av 2020.

4. Forbedring av datahåndtering og persondatabeskyttelse
Jeg har svart ut flere av spørsmålene om forbedring av datahåndtering og persondatabeskyttelse under punkt 2 og 3.

Seksjon for kommunikasjon, i samarbeid med digitaliseringsavdelingen, søker hele tiden å forbedre løsninger og sikre oppdatert informasjon på Vikens nettsteder. Fremover vil det blant annet blir jobbet med å stramme opp redaktørmodellen og rutiner for publisering, utvidelse og forbedring av den obligatoriske redaktøropplæringen til å ha enda sterkere fokus på personvern, generell kompetanseheving rundt produksjon av innhold som etter hvert ender på nettsidene, tydeligere retningslinjer for innhold og krav for å følge disse, utvidet bruk av statistikk- og kvalitetssikringsverktøy og utvikling av innhold/tjenestene som minimerer manuelle prosesser og mulighet for «menneskelige feil».

Stab for informasjonssikkerhet og personvern er en del av avviksteamet i Viken. Alle avvik følges opp i avviksteamet, og det vurderes hvordan organisasjonen kan lære av hendelser og forebygge gjentagelser. Staben jobber tett sammen med personvernombudet og videreutvikler rutiner og retningslinjer fortløpende.

Fylkesrådet har også involvert seg i det systematiske forbedringsarbeidet, med fokus på læringspunkter og forbedringsarbeid.

Til toppen