Revisjonsplan 2017 og revisjonsrapport om personvern og

Universitetet i Stavanger
Styret ved Universitetet i Stavanger
US 17/17
Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet
høst 2016
Saksnr:
15/06999-7
Møtedag: 09.03.2017
Saksansvarlig:
Rolf Jegervatn, internrevisjonsleder
Informasjonsansvarlig: John B Møst, universitetsdirektør
Dokumenter i saken:
Vedlegg 1: Revisjonsplan 2017
Vedlegg 2: Risikovurdering 2017
Vedlegg 3: Revisjonsrapport UiS personvern og informasjonssikkerhet
Vedlegg 4: Oppdragsbeskrivelse
Vedlegg 5: Taushetserklæring
Vedlegg 6: Instruks
Vedlegg 7: Ny forordning 2018 datatilsynets skriv
Bakgrunn i sak:
Internrevisjonen ved Universitetet i Stavanger (UiS), Universitetet i Agder (UiA), Nord universitet og
Høgskulen på Vestlandet (HVL) legger med dette frem revisjonsplan for 2017. Tema for revisjon våren
2017: Sidegjøremål og roller i næringslivet. Revisjon høst 2017: Bruk og forvaltning av KD –
Stipendiatmidler, se vedlagt revisjonsplan for 2017.
Internrevisjonen utarbeidet høsten 2015 forslag til revisjonsplan for 2016. Styrene ved de fire
samarbeidende virksomhetene har hatt revisjonsplan for 2016 til behandling og godkjent disse uten
merknader.
Internrevisjonen har gjennomført en anbefalende revisjon av personvern og informasjonssikkerhet med
kontroll av dokumentasjon av internkontrollprosesser knyttet til ansvarsutøvelse i forhold til revidert
område. Revisjonen ble gjennomført i samarbeid med ekstern IT-revisor Kenneth Høstland (Conferit AS).
Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er
internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse og oppfølging av
Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt
revisjonsrapport.
IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet gjennom sertifisering av
sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015
(kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet).
Forslag til vedtak:
1. Styret vedtar den forelagte revisjonsplanen for 2017.
2. Styret tar revisjonsrapporten til orientering.
Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger
på revidert område som fremkommer i revisjonsrapporten.
Stavanger, 28.02.2017
John B Møst
universitetsdirektør
1
US 17/17
Revisjonsplan 2017 og revisjonsrapport om personvern og informasjonssikkerhet
høst 2016
Revisjonsplan 2017:
Planen for internrevisjonsaktiviteter 2017 skal godkjennes av de enkelte virksomhetsstyrene og fremlegges
derfor i god tid før første revisjon våren 2017. Det vil være internrevisjonsteamet som utarbeider forslag
til revisjonsplan i dialog med virksomhetene.
Internrevisjonsteamet ble bedt om å utarbeide en metodikk for hvordan man skal komme frem til forslag
til revisjonsplan for fremtiden jf. styresak (US 109/15 Internrevisjon ved UiS). Dette ble løst gjennom å
rette direkte forespørsel/dialog med samtlige av de fire virksomheters ledelse medio november 2016. Alle
de fire virksomhetenes ledelse ble bedt om å adressere internrevisjonens ønske om innspill til neste års
revisjon.
Det planlegges i utgangspunktet to revisjoner for 2017 dersom det ikke bestemmes annet. Dette må også
vurderes opp mot økonomiske rammer. Den enkelte virksomhet står fritt til å benytte eksterne
konsulenter til revisjon av andre områder som er særskilte på den enkelte institusjon. Revisjonsplanen
skal også foreslå mulige fremtidige revisjoner, slik at de enkelte styrene gis mulighet til å gi
tilbakemeldinger til revisjonsteamet om mulige tema.
Internrevisjonen planlegger å gjennomføre to revisjoner for 2017 jf. vedlagt revisjonsplan.
Vår 2017: Sidegjøremål og roller i næringslivet.
Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre
virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har tidligere
omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og åpenhet rundt
dette på de institusjoner som har vært revidert på dette området. Internrevisjonen ønsker å gjennomføre
en revisjon med fokus på i hvilken grad fakulteter og institutter etterlever lover og regler samt
virksomhetenes egne interne retningslinjer som foreligger på området.
Høst 2017: Bruk og forvaltning av KD – Stipendiatmidler
Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs føringer
og forventninger.
Revisjonsrapport personvern og informasjonssikkerhet:
Internrevisjonen har gjennom denne revisjonen kartlagt om kontroller, dokumentasjon, prosedyrer,
prosesser og andre aktiviteter er effektivt gjennomført, vedlikeholdt og oppfyller lovmessige og
regulatoriske krav, samt krav stilt i egne styrings- og ledelsessystemer for informasjonssikkerhet og
personvern. I tillegg har revisjonen gitt en anbefaling av hvilke tiltak virksomhetene må foreta seg for å
imøtekomme de nært forestående endringene jf. EU 2018 krav knyttet til personvern.
Hovedkonklusjoner fra revisjonsrapport
Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er
internrevisjonens konklusjon at UiS har et forbedringspotensial innenfor etterlevelse av
Personopplysningsloven med forskrift og innen informasjonssikkerhet jf. konklusjoner i vedlagt
revisjonsrapport. Internrevisjonen vil benytte anledningen til å påpeke at UiS har igangsatt og gjennomført
flere forbedringer på dette området etter Riksrevisjonens revisjon av persondatasikkerhet knyttet til
prosjekter i 2010/2011.
IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være sertifisering av
sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC 9001:2015
(kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet).
2
Revisjonsrapportene for Universitetet i Agder, Nord Universitet og Høgskulen på Vestlandet er tilgjengelig på
forespørsel.
Forslag til vedtak:
1. Styret vedtar den forelagte revisjonsplanen for 2017.
2. Styret tar revisjonsrapporten til orientering.
Internrevisjonen ber styret å påse at universitetsdirektøren følger opp de bemerkninger og anbefalinger
på revidert område som fremkommer i revisjonsrapporten.
Stavanger, 28.02.2017
John B Møst
Rolf Jegervatn
universitetsdirektør
internrevisjonsleder
Saksbehandler: Rolf Jegervatn
internrevisjonsleder
3
Utarbeidet i samarbeid mellom
REVISJONSPLAN 2017 Internrevisjonen
Revisjoner 2016:
1. Reiseregninger
2. Personvern og informasjonssikkerhet
Punkter til oppfølging fra 2016 revisjonene
Internrevisjonen mottok tilsvar fra samtlige reviderte virksomheter i etterkant av revisjonen av
reiseregninger. Internrevisjonen ber om at virksomhetene gir tilbakemelding på hvordan
oppfølgingspunktene/funnene etter revisjonene for 2016 følges opp, dette for at internrevisjonen
kan kvittere punktene som ferdigstilt. Vi ønsker også tilbakemelding på hvordan oppfølgingen i
etterkant av revisjonen av personvern følges opp. Tilbakemelding til internrevisjonen kan skje
løpende enten ved direkte kontakt med internrevisjonsteamet eventuelt kan styrets kontaktperson
videreformidle til internrevisjonen.
Internrevisjonens funksjon
Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsfunksjon som har til hensikt å
tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine
målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre
effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, styring og
kontroll og governance.
Risikovurdering
I tråd med internrevisjonsmetodikken har internrevisjonen gjennomført risikovurdering som
grunnlag for utarbeidelse av revisjonsplanen for 2017 (se vedlegg risikovurdering). Risikovurderingen
har hatt til hensikt å identifisere områder som kan ha en risiko for virksomhetene og der
internrevisjonen kan bidra til å bekrefte eller avkrefte om kontrolltiltakene er gode, samt områder
der internrevisjonen kan være mest effektiv og gi størst verdi og ikke overlapper med annet
revisjonsarbeid fra Riksrevisjonen.
Revisjonsprosjektene har ikke nødvendigvis blitt valgt ut fordi de representerer høyest risiko for
virksomhetene, men snarere en kombinasjonen av risiko og verdipotensialet internrevisjonen kan ha
for virksomhetene samlet sett.
Revisjonsplanen følger kalenderåret 2017. For påfølgende år vil det bli utført en justering av
risikovurdering som grunnlag for 2018 planen.
Forslag til revisjonstema - revisjonsplan for 2017:
Nedenfor er internrevisjonens forslag til internrevisjonsplan for 2017 med beskrivelse av planlagte
internrevisjonsprosjekter i perioden. Planen skal godkjennes av styret. I tråd med tidligere års
praksis er vårt forslag oversendt Universitetsdirektør som underlag til aktuell styresak.
Nedenfor følger en beskrivelse av revisjonsprosjektene som inngår i revisjonsplanen. Disse er
gjennomgått og diskutert av internrevisjonen. I forbindelse med oppstart av de enkelte
revisjonsprosjektene vil det i tillegg bli utarbeidet egne planleggingsmemo som gir en detaljert
oversikt over omfang og gjennomføring av de to endelige valgte tema for revisjon i 2017. Dette
utføres når tema for revisjon 2017 er fastsatt av styrene. Internrevisjonen oppfordrer styret til å
komme med innspill for eventuelle tema 2018.
Vi anbefaler at følgende internrevisjonsprosjekter vedtas av styret og blir gjennomført i 2017:
1. Sidegjøremål og roller i næringslivet
Det er vanlig i UH-sektoren at vitenskapelig ansatte innehar sidegjøremål (bierverv) og roller i andre
virksomheter som i næringsliv, i organisasjoner og i offentlig virksomhet. Riksrevisjonen har
tidligere omtalt forholdet i dokument 1 og viser til at det i enkelte tilfeller er mangelfulle rutiner og
åpenhet rundt dette på de institusjoner som har vært revidert på dette området.
Internrevisjonen ønsker å gjennomføre en revisjon med fokus på i hvilken grad fakulteter og
institutter etterlever lover og regler samt virksomhetenes egne interne retningslinjer som foreligger
på området.
2. Bruk av KD – Stipendiatmidler
Hvordan forvaltes Kunnskapsdepartementets tildelinger av stipendiatmidler (PhD) i forhold til KDs
føringer og forventninger.
Forslag til senere revisjoner:
3. Beredskap
4. HMS
Risikovurdering 2017 – Internrevisjonsenheten
Mål:
Internrevisjonen ved UiS, Nord, UiA og HVL tilstreber til enhver tid å følge IIA standardene: Internrevisjonen tilstreber å gi
bekreftelser på virksomhetenes prosesser for governance, risikostyring og kontroll for å hjelpe virksomhetene å nå sine strategiske, operasjonelle-, finansielle- og etterlevelsesmål. Internrevisjonen tilstreber videre å være en pådriver for å forbedre virksomhetenes
hensiktsmessighet og effektivitet ved at den gir innsikt og anbefalinger basert på analyser og vurderinger av informasjon og
forretningsprosesser. Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at
den er en objektiv kilde til uavhengige anbefalinger.
Ev.delmål:
1) Sikring av etterlevelse av myndighetskrav
2) Sikre at det er tiltak mot bestikkelser og korrupsjon i virksomheten
3) Sikre at det ikke skjer uheldige tredjepartsrelasjoner
4) Sikre den strategiske tilpasningen
5) Internrevisjonsgruppen i seg selv (iboende risiko)
Kritiske
Gjennom sin integritet og ansvarlighet gir internrevisjonen verdi til de styrende organer og toppledelsen ved at den får mulighet til å
suksessopptre som en objektiv kilde til uavhengige anbefalinger.
faktorer
Risikovurdering
Risikoreduserende tiltak
Identifisere risiko
Akseptabelt
Sannsynlighet Konsekvens
#
(redusere konsekvens og/eller
Foreliggende
(trusler)
(Usikkerhet)
(Hva står på spill)
Risikonivå
sannsynlighet)
risikonivå
L, M og S
L, M og S
L, M og S
1)
Internrevisjonen
Hvordan kan internrevisjonen bistå:
M
M-S
L-M
M
avdekker direkte brudd
- Lage en oversikt over
på gjeldende
myndighetsorganer og -krav
lover/regelverk gjennom
som påvirker virksomhetene.
revisjonen.
- Evaluere virksomhetenes
respons til eventuelle
nevneverdige tilfeller av
manglende etterlevelse.
- Sørge for at
opplæringsprogrammer i
compliance som tilbys til
medarbeidere og andre
interessenter er egnet for
rollen.
2)
Internrevisjonen ser
viktigheten av å holde
høyt fokus på, samt
søke å identifisere
risikoer som oppstår i
forbindelse med
myndighetskrav og
compliance, så som den
som introduseres ved
interaksjon mellom
tredjeparter.
L-M
S
L
L-M
-
-
3)
Internrevisjonen ser
risiko knyttet til
tredjepartsrelasjoner mht
motivet for å øke egen
produktivitet og
effektivitet.
Virksomheter kan
komme til å basere seg i
stadig større grad på
tredjeparter for å utføre
viktige
forretningsfunksjoner.
Men bruk av tredjeparter
kan eksponere
virksomhetene for nye
risikoer og potensielle
M
M-S
L-M
L-M
-
Internrevisjonen kan
gjennomføre en vurdering av
virksomhetens eksisterende
prosedyrer mot bestikkelser
og korrupsjon i forhold til
ledende praksis i veiledning
for myndighetskrav.
Sikre at utformingen og den
driftsmessige effektiviteten til
virksomhetenes relevante
kontroller for forebyggelse
og oppdagelse er god.
Forbedre internrevisjonens
prosedyrer mot bestikkelser
og korrupsjon i sine
eksisterende/planlagte
revisjoner og
oppsynsaktiviteter overfor
tredjeparter.
Evaluere
kontraktsforvaltningsprosess
er som brukes av ledelsen
for å holde oversikt over
tredjepartsrelasjoner
Overvåke utviklinger i
myndighetskrav relatert til
tredjeparter.
4)
feil som kan føre til
bøter, søksmål og
omdømmeskade.
Internrevisjonen ser
risiko knyttet til det å
sikre at internrevisjonen
er samstemt med
selskapets strategiske
prioriteringer og forblir
relevant i lys av
organisatorisk og annen
endring.
M
M
L-M
M
-
-
5)
Internrevisjonen ser
egen sårbarhet ifbm
fravær av gruppens
deltakere.
L
L-M
L-M
L-M
Sørge for at ressurser blir
allokert til virksomhetenes
viktigste målsettinger og
initiativer.
Fastslå hvordan
virksomheten vurderer risiko
relatert til større strategiske
initiativer og hvordan det
håndterer endring relatert til
de initiativene.
Sørge for at internrevisjonen
er godt tilpasset selskapets
strategi.
Utsatt offentlighet jf. Off.lova § 14
REVISJONSRAPPORT
Revisjon av informasjonssikkerhet og
personvern
Distribuert til:
Styret
Universitetsdirektør
Deltakere ved intervju
Gjennomført av enhet for internrevisjon:
Annette Sundsdal (UiA), Rolf Jegervatn (UiS), Kristine Tangen (HiB), Cathrine Vasset
Rasmussen (Nord) og IT-revisor Kenneth Høstland (Conferit AS)
Stavanger
23.11.2016
1. Innledning og bakgrunn
Denne rapporten reflekterer den overordnede gjennomgangen av informasjonssikkerhet som ble
gjennomført hos Universitetet i Stavanger (heretter kalt UiS) i november 2016.
Arbeidet er forankret i universitetets styregodkjente revisjonsplan for 2016 der revisjonen utføres
i samarbeid med internrevisjonen ved Universitetet i Stavanger (UiS), Nord Universitet, og
Universitetet i Agder (UiA). Arbeidet er utført som en overordnet anbefalende revisjon av
informasjonssikkerhet og personvern ved virksomhetene for å bistå virksomhetene i sitt
forbedringsløp innen internkontroll.
Rapporten gir en overordnet vurdering av hvorvidt kontroller, dokumentasjon, prosedyrer,
prosesser og andre aktiviteter er effektivt gjennomført og vedlikeholdt og oppfyller regulatoriske
krav og krav stilt i egne styrings- /ledelsessystemer for informasjonssikkerhet og personvern, samt
EUs nye krav til personvern som skal være oppfylt innen mai 2018.
Kartleggingen er gjennomført ved hjelp av intervju med sentrale personer ved virksomheten og
med basis i «beste praksis», i forhold til systematikken i ISO 27001, samt relevante regulatoriske
krav, Personopplysningsloven (POL) med forskrift (POF).
Målsettingen med revisjonen er å etablere hensiktsmessige styrings- og kontrollmekanismer som
balanserer risiko, kontroll og kost/nytte. Videre mål er å sikre at styrings- og kontrollmekanismene
fungerer effektivt og som forutsatt, samt at kontrollmekanismene blir dokumentert, og at
dokumentasjonen blir systematisert i styrende dokumenter for informasjonssikkerhet.
Mål- og resultatstyring er det overordnede styringsprinsipp i all virksomhetsstyring. God mål- og
resultatstyring forutsetter at ledelsen er kjent med og håndterer de utfordringer og usikkerheter
som kan påvirke måloppnåelsen på en negativ måte. God virksomhetsstyring inneholder for
eksempel typisk krav om at all styring, oppfølging, kontroll og forvaltning i virksomheten skal
tilpasses virksomhetens egenart samt risiko og vesentlighet.
2. Hovedkonklusjoner
Basert på mottatt dokumentasjon og de opplysninger som er fremkommet gjennom intervjuer, er
vår konklusjon at UiS har et klart forbedringspotensial innenfor etterlevelse av
Personopplysningsloven med forskrift og innen informasjonssikkerhet.
IT avdelingen ved UiS holder imidlertid et høyt nivå innen informasjonssikkerhet takket være
sertifisering av sitt ledelsessystem / styringssystem etter to ISO sertifiseringer, herunder ISO/IEC
9001:2015 (kvalitetsstyring) og ISO/IEC 27001:2013 (Informasjonssikkerhet).
Det er ikke gjennomført revisjon av den tekniske informasjonssikkerheten hos UiS.
Internrevisjonen har notert følgende funn i form av avvik og observasjoner;
• Virksomheten har mangelfull oversikt over hvilke personopplysninger som behandles og hvor
disse lagres / hvordan disse opplysningene er sikret, samt under hvilket formål, jf. POF § 2-4.
• Informasjonssikkerhets policy, rutiner, retningslinjer (slik som i forhold til sikker lagring mv) er
vanskelig å finne i virksomhetens interne web sider.
• Noe dokumentasjon som er tilgjengelig er utdatert, slik som Håndbok for behandling av
personopplysninger i forskningsprosjekter av 28.11.04.
2
•
•
•
•
•
•
Siden virksomheten ikke kan fremskaffe dokumentasjon over «alle endringer med betydning
for informasjonssikkerheten» (Jf. POF § 2-4), er det uklart hvorvidt det er gjennomført
risikovurderinger av informasjonssikkerhet i nødvendig grad.
Det er uklart hvorvidt IT strategien er forankret i virksomhetens ledelse.
Det er ikke etablert årshjul for sikkerhet på overordnet nivå i virksomheten (IT avdelingen har
dette etablert for sin virksomhet). Manglende årshjul for informasjonssikkerhet i virksomheten
som et hele gir risiko for manglende fokus og gjennomføring av ulike tiltak for å fremme
sikkerheten.
Egne sikkerhetstiltak eller sikkerhetstiltak hos databehandlere er ikke gjennomgått,
Jf. POF § 2-14.
Oversikt over Databehandlere inkluderer ikke underleverandører og UIS har ikke skaffet
oversikt over den faktiske sikkerheten hos disse, Jf. POF §§ 2-14, 2-15.
Virksomheten er ikke forberedt med hensyn til etterlevelse av EUs forordning for personvern
som blir norsk lov i mai 2018 og vil erstatte POL og POF. Det betyr at man får nye regler for
personvern i Norge, som gir virksomheter nye plikter. Personer som får sine
personopplysninger registrert får nye rettigheter. De nye personvernreglene vil bety (ikke
avgrenset til, jf. vedlagte informasjon fra Datatilsynet):
o Personvern skal bygges inn i nye løsninger, det vil si at krav til at nye tiltak og systemer
skal utarbeides på en mest mulig personvernvennlig måte.
o Det skal etableres forståelig personvernerklæring, det vil si at informasjon om hvordan
virksomheten behandler personopplysninger skal være lett tilgjengelig og skrevet på
en forståelig måte.
o Alle skal vurdere risiko og personvernkonsekvenser. Dersom et tiltak utgjør en stor
risiko for personvernet, må virksomheten også utrede hvilke personvernkonsekvenser det kan ha.
o Alle offentlige og mange private virksomheter skal opprette personvernombud.
Ombudet kan være en ansatt eller en profesjonell tredjepart.
o Reglene gjelder også virksomheter utenfor Europa.
o Alle databehandlere får nye plikter.
o Alle får nye krav til avvikshåndtering.
o Alle må kunne oppfylle borgernes nye rettigheter.
3. Anbefalinger
Internrevisjonen vil anbefale at UiS utbedrer de mest alvorlige funn/avvik med relevante tiltak.
Dette gjelder særlig følgende prosesser og tiltak:
• Virksomheten (UiS utenom IT avdelingen) bør videreutvikle sin risikostyring som inkluderer:
o Gjennomføring av risikovurderinger ved enhver endring som har betydning for
informasjonssikkerheten.
o Etablering av et risikoregister der også restrisiko dokumenteres.
o Etablering av systematikk for vurdering av restrisiko og risikoenes muligheter
(«Upside of risk»).
o Gjennomføring av risikovurderinger i forhold til mål- og resultatstyringen.
• Sikkerhetspolicy med tilhørende rutiner, retningslinjer og veiledere bør oppdateres og
tilgjengeliggjøres i virksomhetens interne web sider.
3
•
•
•
•
•
•
•
•
•
•
Det overordnede sikkerhetsansvar (CSO) bør forankres tilstrekkelig sentralt i organisasjonen.
Imidlertid har virksomheten lagt planer om å besette CSO funksjonen med sentral forankring i
virksomhetens ledelse (Administrasjonen).
IKT sikkerhetsarkitekturen bør kritisk gjennomgås hos Databehandlere.
Det bør etableres Databehandleravtaler som i tillegg til de fokusområder som er omhandlet i
forslag til avtale fra UNINETT også inkludere Databehandlers ansvar ved opphør.
Databehandler skal som del av ytelsen stille nødvendige tjenester til rådighet i
avviklingsperioden, slik at nødvendige handlinger kan gjennomføres uten driftsmessige
forstyrrelser for den behandlingsansvarlige.
Oversikten over databehandlere bør også inkludere oversikt over alle underleverandørene.
Virksomheten bør utarbeide rolle beskrivelser med funksjon, ansvar, oppgaver, samt rollenes
tilgangsnivå i ulike fagsystemer.
Meldingsarkivet hos NSD bør utvides til å inkludere hvor personopplysningene er lokalisert og
hvordan disse er sikret.
Etablere hehetlig systemoversikt som også inkluderer (ikke avgrenset til); hvilke type
opplysninger systemene inneholder,
sikkerhets nivå (hvilken sone), hjemmel for
opplysningene, mv.
Det bør undersøkes nærmere hvorvidt personopplysninger der konfidensialitet er nødvendig
er tilstrekkelig sikret hos Databehandlere i egen IT revisjon.
Det bør etableres eget årshjul for informasjonssikkerhet (på overordnet nivå i virksomheten
utenom IT avdelingen), og som gjerne kan kombineres / integreres med IT avdelingens øvrige
og overordnede fokusområder.
I forhold til den nye Personvernforordningen i EU bør virksomheten:
o Sette seg inn i de nye reglene og foreta en konsekvens vurdering.
o Lage en plan for hvordan virksomheten skal møte de nye reglene.
o Sette av ressurser for å kunne etterleve de nye reglene.
Det er tilfredsstillende å observere at UiS har:
• Etablert sikkerhetsmål og –strategi (policy).
• Sterkt fokus på informasjonssikkerhet og deriblant har etablert mandat for prosjekt med å
etablere / vitalisere arbeidet med internkontroll.
• En IT avdeling som er sertifisert innen to omfattende ISO standarder, ISO/IEC 9001:2015 og
ISO/IEC 27001:2013.
• Høy kompetanse innen sikkerhet og stor omstillingsevne.
• Gjennomført risikovurderinger av både informasjonssikkerhet både ved IT avdelingen og ute i
virksomheten.
• Gjennomført hyppige revisjoner ved IT avdelingen og har gjennomført dette også ved
fakultetene.
• Prosess for etablering av Databehandleravtale med UNINETT, som er igangsatt.
• Etablert systemoversikt som inkluderer oversikt over systemeiere. Imidlertid er det noen
mangler ved denne som nevnt ovenfor.
• Har god oversikt over avvik relatert til IT avdelingen
4
Mer detaljert beskrivelse av funn og anbefalinger er å finne i vedlegget.
4. Gjennomføring, forutsetninger og avgrensninger av IT-revisjonen
Det er benyttet erfaring og skjønn sammen med tilgjengelig dokumentasjon fra UiS for en
sikkerhetsvurdering av informasjonsforvaltningen ved UiS opp mot «beste praksis» og
regulatoriske
krav,
slik
som
personopplysningsloven
med
forskrift.
«Beste praksis» (også betegnet «god IT-skikk») bygger bl.a. på
• CobiT (Control Objectives for Information and Related Technology), utarbeidet av ISACA.
• ISO/IEC 27001:2013.
• «God IT-skikk», utarbeidet av ISACA og publisert i Norge av Den norske dataforening.
• Information Security Forums forskjellige sikkerhetskontroller.
5. Gjennomføring og metode
IT-revisor 1 Kenneth Høstland (Conferit AS) ble engasjert av Internrevisjonen for å gjennomgå
informasjonssikkerheten og etterlevelse av Personopplysningsloven (POL) med forskrift (POF).
IT-revisjonen ble gjennomført med bedriftsbesøk og intervjuer den 23 november 2016 i Stavanger.
Det har i tillegg vært oppfølging via e-post og telefon i etterkant av intervjuene.
Kartleggingen er gjennomført ved hjelp av intervjuer med sentrale personer ved UiS med basis i
«beste praksis» og relevante regulatoriske krav som nevnt ovenfor.
Det er foretatt overordnet verifikasjon av informasjonssikkerhet, rutiner og dokumentasjon i form
av stikkprøver. Det er ikke benyttet tekniske verktøy i denne revisjonen.
6. Omfang av IT- revisjonen
Sikkerhetsstatus og tiltak ble gjennomgått med følgende personer:
1
Navn
Funksjon
Dato
Rolf Jegervatn
Internrevisjonsleder
23.11.2016
Cathrine V. Rasmussen
Internrevisor
23.11.2016
Annette Sundsdal
Internrevisor
23.11.2016
Kristine Tangen
Internrevisor
23.11.2016
Kenneth Høstland
IT-revisor (Conferit AS)
23.11.2016
Marina Davidian
IT-direktør
23.11.2016
Gro Sokn
Fakultetsdirektør TN
23.11.2016
Lone Litlehamar
Fakultetsdirektør SV
23.11.2016
Marianne Gjerlaugsen
Rådgiver SV-fakultetet
23.11.2016
CISA, CRISC
5
Ingunn Folgerø
Fakultetsdirektør HUM
23.11.2016
Marianne Trå
Rådgiver FOU, HUM FAK
23.11.2016
John B. Møst
Universitetsdirektør
23.11.2016
Halfdan Hagen
HR-direktør
23.11.2016
Lise Grønnevik
Leverandøransvarlig
23.11.2016
Per Langholm
Tjenestekoordinator
23.11.2016
Tore Wilmar Jakobsen
CTO
23.11.2016
7. Referanse og underlagsdokumenter
Følgende dokumentasjon og underlag er forelagt og vurdert i sikkerhetskartleggingen:
Navn på dokument / Beskrivelse/ Dato
Hovedanbefalinger fra IT revisjonen hos TN Unix-anlegget 02.06.16
1
Prosessbeskrivelse ansettelser
2
Prosedyre for håndtering av nøkler
3
ROS-vurdering_TN_etter WS_13.11_v092
4
Sammendrag fra møtet i sikkerhetsforum 13.09.16
5
Følgende ble vist på skjerm hos IT avdelingen:
6
Prosjektoversikt
7
IT avdelingens sikkerhets- og kvalitets policy
8
IT avdelingens Sikkerhets- og kvalitetshåndbok
9
10 Risikoregister
11 Eksempel på risikovurderinger
12 Sikkerhetspolicy for UiS
13 Sonemodellen
14 Avviks oversikt, definisjon og håndtering
15 Kontinuitetsplan for IT med rapport fra test
16 Årshjul sikkerhet IT avdelingen
17 IT strategi
18 Systemoversikten
19 Prosedyre for risikovurderinger
8.
•
•
•
Vedlegg
IT revisjon UiS_List_of_Findings_v0.9_uPWDokumentasjon fra UiS
Informasjon fra Datatilsynet
Dokumentasjon fra UiS
Cathrine Vasset Rasmussen
Kristine Tangen
Annette Sundsdal
Kenneth Høstland
6
Nye personvernregler fra 2018. Hva betyr det for din virksomhet?
Hva blir nytt?
1
Alle norske virksomheter får
nye plikter
Alle virksomheter må sette seg inn
i den nye lovgivningen og finne ut
hvilke nye plikter som gjelder dem.
Ledelsen må sørge for å få på plass
rutiner for å overholde de nye
pliktene. Alle ansatte må følge de
nye rutinene når reglene trer i kraft.
2
Alle skal ha en forståelig personvern­
erklæring
Informasjon om hvordan din virksom­
het behandler personopplysninger skal
være lett tilgjengelig og skrevet på en
forståelig måte. Det nye lovverket
stiller strengere krav til informasjonens
form og innhold enn dagens lovgivning.
All informasjon som gis til barn, skal
tilpasses barnas forståelsesnivå.
3
Alle skal vurdere risiko og
personvern­konsekvenser
Dersom et tiltak utgjør en stor risiko
for personvernet, må virksomheten
også utrede hvilke personvernkonse­
kvenser det kan ha. Hvis utredningen
viser at risikoen er stor og dere selv
ikke kan redusere den, skal Datatilsynet
involveres i forhåndsdrøftelser.
4
Alle skal bygge personvern inn
i nye løsninger
De nye reglene stiller krav til at nye til­
tak og systemer skal utarbeides på en
mest mulig personvernvennlig måte.
Dette kalles innebygd personvern. Den
mest personvernvennlige innstillingen
skal være standard i alle systemer.
5
Mange virksomheter må opprette
personvernombud
Alle offentlige og mange private virk­
somheter skal opprette personvern­
ombud. Et personvernombud er
virksomhetens personvernekspert,
og et bindeledd mellom ledelsen,
de registrerte og Datatilsynet.
Ombudet kan være en ansatt eller en
profesjonell tredjepart.
6
Reglene gjelder også virksomheter
utenfor Europa
Virksomheter som holder til utenfor
Europa må også følge forordningen,
dersom de tilbyr varer eller tjenester
til borgere i et EU- eller EØS-land.
Dette gjelder også om de ikke direkte
tilbyr tjenester, men kartlegger adferden
til europeiske borgere på nett. De som
er etablert i flere land i Europa, skal
bare trenge å snakke med personvern­
myndighetene i det landet der de har
sitt europeiske hovedkvarter.
7
Alle databehandlere får nye plikter
Databehandlere er virksomheter som
behandler personopplysninger på opp­
drag fra den ansvarlige virksomheten.
Ofte er det snakk om leverandører av
IT-tjenester. De nye reglene pålegger
databehandlere å ha rutiner for inn­
samling og bruk av personopplysninger.
Databehandlere skal også si ifra til opp­
dragsgiveren sin hvis de får instrukser
som er i strid med loven. Oppdragsgiver
skal også godkjenne data­behandlerens
underleverandører. Databehandlere
kan også bli holdt økonomisk ansvarlig
sammen med oppdragsgiver.
8
Alle bør samarbeide i egne nettverk
og følge bransje­normer
De nye reglene oppmuntrer til sektor­
vis utforming av retningslinjer og
bransjenormer. Om dere følger
bransjenormer, vil dere ha de viktigste
rutinene på plass. Datatilsynet skal
godkjenne bransjenormene.
9
Alle får nye krav til avvikshåndtering
Reglene for håndtering av sikkerhets­
brudd blir strengere. Forordningen
stiller krav til når det skal varsles, hva
varselet skal inneholde og hvem som
skal varsles. Kort sagt skal man si fra
raskere og oftere enn man gjør i dag.
10
Alle må kunne oppfylle borgernes
nye rettigheter
Den enkeltes rett til å kreve at hans
eller hennes personopplysninger
slettes blir styrket. Dette kalles «retten
til å bli glemt». Norske og europeiske
borgere vil blant annet kunne kreve å
ta med seg personopplysningene sine
fra en leverandør til en annen i et vanlig
brukt filformat. Dette kalles «data­
portabilitet». De kan også motsette
seg profilering. Alle henvendelser fra
borgere skal besvares innen en måned.
Hva bør dere
gjøre nå?
1
Ha oversikt over hvilke person­
opplysninger dere behandler
Alle virksomheter som samler
inn eller bruker personopplys­
ninger skal ha oversikt over
hvilke personopplysninger det
er snakk om, hvor de kommer
fra og hva som er det rettslige
grunnlaget for behandlingen.
Sørg for å ha en slik oversikt.
Det er et krav som gjelder også
etter dagens lov.
2
Sørg for å oppfylle dagens
lovkrav
Overgangen til de nye reglene
blir lettere om dere etterlever
kravene i personopplysnings­
loven, som gjelder i Norge i
dag. Har dere gode rutiner for
internkontroll som fungerer
etter hensikten og er kjent i
organisasjonen, er det lettere å få
oversikt over hva dere må endre.
3
Sett dere inn i det
nye regelverket
Dere finner forordningsteksten
på Datatilsynets nettsider. Der
fyller vi også på med artikler om
de nye reglene etter hvert
som vi utarbeider dem.
4
Lag rutiner for å følge de
nye reglene
Gå gjennom rutinene dere har
for behandling av personopp­
lysninger. Oppdater dem etter
nytt regelverk der det trengs.
Dokumenter de nye rutinene,
og legg en plan for nødvendige
endringer. Er systemene deres
laget for å ivareta kravet til inne­
bygd personvern, dataportabilitet
og personvern som standard­
innstilling? Klarer dere å fange
opp og besvare henvendelser
fra borgerne innen én måned?
Endringer i systemer og rutiner
tar tid. Begynn allerede nå!
datatilsynet.no/forordning