Úrlausnir

Niðurstaða úttektar á öryggiskerfi lífsýnasafns Íslenskrar erfðagreiningar ehf.

31.5.2006

I.
Boðun úttektar og bréfaskipti
Með bréfi Persónuverndar til Íslenskrar erfðagreiningar ehf. (ÍE), dags. 15. ágúst 2002, var, með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á öryggiskerfi lífsýnasafns fyrirtækisins. Eins og greint var frá í bréfinu er úttektin liður í heildstæðri athugun Persónuverndar á öryggi persónuupplýsinga hjá flestum lífsýnasöfnum á landinu.

Í framangreindu bréfi óskaði Persónuvernd eftir því að ÍE legði fram skrifleg gögn um öryggiskerfi safnsins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggi ráðstöfunum. Hófst nokkur undirbúningsvinna en af ýmsum ástæðum urðu tafir á framkvæmd úttektarinnar þar til Persónuvernd barst, þann 18. febrúar 2003, bréf frá ÍE þar sem m.a. kom fram að fyrirtækið ynni að gerð umræddra gagna og lyki henni innan skamms. Var úttektinni þá framhaldið, sbr. bréf Persónuverndar til ÍE dags. 21. febrúar 2003.

Þann 19. nóvember 2003 bárust Persónuvernd umbeðin gögn, þ.e. "Öryggishandbók Íslensks lífsýnasafns" dags. 18. nóvember 2003. Með henni fylgdu tvö bréf dagsett sama dag. Þar var annars vegar tilkynnt um skipun í stjórn safnsins og hins vegar um að fyrirsvarsaðili safnsins gagnvart Persónuvernd væri Kristleifur Kristjánsson framkvæmdastjóri þess.

Með bréfi Persónuverndar, dags 9. desember 2003, voru framkvæmdastjóra safnsins kynntar hugmyndir stofnunarinnar um framvindu úttektarinnar og þátttöku fyrirtækisins í kostnaði vegna hennar, sbr. 4. mgr. 37. gr. laga nr. 77/2000. Í svarbréfi hans, dags. 16. janúar 2004, var m.a. staðfest að fyrirtækið gerði ekki athugasemdir við fyrirhugað fyrirkomulag á framvindu úttektarinnar, en þó með tilteknum fyrirvara varðandi kostnað. Persónuvernd gerði ekki athugasemd við þann fyrirvara.

II.
Aðkoma sérfræðings að úttektinni og
skýrsla hans um niðurstöðu vettvangsathugunar
1.

Þann 21. janúar 2004 gerði Persónuvernd samning við Hörð H. Helgason, sérfræðing í öryggi persónuupplýsinga hjá Dómbæ ehf., um að gera vettvangsathugun á starfsstöð lífsýnasafnsins og skila Persónuvernd skýrslu um niðurstöðu hennar. Er hann bundinn trúnaðar- og þagnarskyldu um það sem hann varð áskynja um í störfum sínum fyrir Persónuvernd, sbr. sérstakt ákvæði þess efnis í samningnum.

Samkvæmt samningnum skyldi Hörður semja gátlista fyrir vettvangsathugun, byggðan á lýsingu ábyrgðaraðila lífsýnasafnsins á þeim öryggisráðstöfunum sem þar er beitt er til að gæta öryggis persónuupplýsinga. Því næst skyldi hann framkvæma vettvangsathugun og að því loknu skila lokaskýrslu um hana og yfirliti yfir hvaða öryggisráðstafanir af þeim sem kannaðar hefðu verið í vettvangsathugun reyndust sem skyldi og eftir atvikum hverjar ekki.

2.

Vettvangsathugun Harðar H. Helgasonar fór fram þann 28. janúar 2004. Greinir hann frá niðurstöðum sínum í skýrslu dags. 17. febrúar 2004. Í kafla skýrslunnar, sem ber yfirskriftina "Ákvarðanir um öryggismál", er almennt fjallað um þau skriflegu gögn um öryggi persónuupplýsinga sem ábyrgðaraðili safnsins lagði fram. Þar segir m.a.:

"Þrátt fyrir að ákvarðanir þær, sem liggja til grundvallar ákvörðunum um öryggismál hjá Íslensku lífsýnasafni og Íslenskri erfðagreiningu ehf., virðist að miklu leyti vera skjalfestar, vantar nokkuð upp á að það sé gert með skýrum og skipulagsbundnum hætti. Til dæmis vantar í öryggishandbók Íslenskrar erfðagreiningar ehf. umfjöllun um atriði sem nokkuð æskilegt má telja að tekin væri þar rökstudd afstaða til, t.d. kröfur til þeirra sem verkum er úthýst til (kafli 4.3). Þá eru nokkrir hlutar handbókarinnar í rýrara lagi, t.d. umfjöllun um aðgengi utanaðkomandi aðila (kafli 4.2). Þá eru skýrar tilvísanir til annarra skjala, svo sem verklagsreglna, með fæsta móti. Hefði að ósekju mátt bæta nokkuð í hvað varðar efni öryggishandbókarinnar."

Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður þeirra prófana sem gerðar voru á öryggisráðstöfunum og þær dregnar saman með svofelldum hætti:

"Af þeim 26 prófunum sem framkvæmd voru, telst öryggiskerfi lífsýnasafnsins hafa staðist 19, en ekki staðist sjö. Margar þeirra sjö eru hins vegar ýmist prófanir á ráðstöfunum sem eru æskilegar og gagnlegar, en e.t.v. ekki bráðnauðsynlegar, eða prófanir á ráðstöfunum sem þegar er fyrirhugað að endurbæta.

Því er niðurstaða úttektar þessarar sú, með framangreindum fyrirvörum, að prófanir bendi til þess að þrátt fyrir minni háttar vankanta þá sé öryggiskerfi Íslensks lífsýnasafns að mestu leyti í ágætu ástandi.

Engra brýnna úrbóta virðist þörf, á grundvelli úttektarinnar, en nokkur svið öryggiskerfisins virðist að ósekju mega bæta að nokkru leyti, t.d. öryggisráðstafanir varðandi verksamninga og trúnaðaryfirlýsingar utanaðkomandi verktaka; skjalfestingu öryggiskerfisins, þar á meðal áhættumats og upplýsingaeignalista; útgáfustýringu á skjölum kerfisins; endurskoðun, innra eftirlit og prófanir kerfisins, þar á meðal áætlunum safnsins til að tryggja órofinn rekstur; öryggisfræðslu til almennra starfsmanna og uppsetningu stjórnkerfis aðgangskortakerfis."
3.

Uppbygging skýrslunnar er miðuð við þá flokkun öryggisráðstafana sem byggt er á í reglum nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Ekki eru talin vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem að við prófun reyndust vera í samræmi við lýsingu í öryggishandbók. Hins vegar verður farið yfir þær öryggisráðstafanir sem reyndust ekki vera viðhafðar eða voru með öðrum hætti en greinir í öryggishandbók.

3.1. Vinnuferli er tryggja órofinn rekstur
Ábyrgðaraðila ber að viðhafa tilteknar ráðstafanir til að draga úr hættu á truflunum er geta valdið því að rekstur rofni eða lífsýni og öryggi skaðist, sbr. 2. mgr. 6. gr. reglna nr. 918/2001. Í öryggishandbók segir að æfa skuli viðbragðáætlun vegna hamfara einu sinni á ári. Sérfræðingurinn óskaði eftir því við gagnaöryggisstjóra að sér yrði sýnd skýrsla yfir síðustu prófun á áætlun til að tryggja órofinn rekstur. Sú skýrsla reyndist ekki liggja fyrir og mun slík prófun aldrei hafa farið fram.

3.2. Öryggisráðstafanir varðandi starfsmannamál
Ábyrgðaraðila ber að viðhafa tilteknar ráðstafanir varðandi starfsmannamál til að draga úr hættu á tjóni af völdum mannlegra mistaka, þjófnaðar, svika eða annarrar misnotkunar, sbr. nánar efni 7. gr. reglna nr. 918/2001. Í viðtali við starfsmann lífsýnasafnsins kom fram að honum hefði ekki verið kynnt gildandi öryggisstefna varðandi aðgang að húsnæði og umgengni um öryggissvæði né heldur um upplýsingaöryggi og aðgang að tölvukerfum, sbr. lýsingu í öryggishansbók þess efnis. Umræddur starfsmaður mun hins vegar hafa hafið störf á árinu 1998, þ.e. áður en slíkar kerfisbundnar kynningar voru teknar upp. Kvaðst umræddur starfsmaður ekki vita hvenær eða hvernig bæri að nota dulkóðun í tölvupóstsamskiptum, sbr. leiðbeiningar í öryggishandbók þess efnis. Hins vegar segir í skýrslunni að skýringu þessa megi rekja til þess að viðkomandi starfsmaður þurfi í störfum sínum ekki að senda tölvupóst á dulkóðuðu formi.

3.3. Endurskoðun og innra eftirlit
Ábyrgðaraðila ber reglulega, og eigi sjaldnar en árlega, að endurskoða þær aðgerðir sem gripið er til á grundvelli reglna nr. 918/2001, sbr. 10. gr. þeirra. Í öryggishandbók kemur fram að starfsmönnum séu stöku sinnum send með tölvupósti stutt skilaboð, s.k. "öryggismolar" með leiðbeiningum eða upplýsingum um upplýsingaöryggi. Í viðtali við sérfræðing kannaðist starfsmaður safnsins hvorki við að hafa fengið sendan slíkan tölvupóst né að hafa heyrt um umrædda "öryggismola".

3.4. Aðrar öryggisráðstafanir
Með öðrum öryggisráðstöfunum er í fyrsta lagi vísað til þess að rekstraraðili lífsýnasafns skuli tryggja vandaða meðferð lífsýna og að þau hvorki glatist né skemmist, sbr. 2. gr. reglna nr. 918/2001. Í öðru lagi að hann skuli gera grein fyrir þeim upplýsingaeignum sem vernda eigi og að skilgreina vörsluaðila (ábyrgðarmann) hverra þessara eigna. Í þriðja lagi er vísað til þess að utanaðkomandi aðilar skulu undirrita sérstakar trúnaðaryfirlýsingar og að skyldur þeirra, er lúta að öryggismálum, skulu tilgreindar í samningi við þá, sbr. til hliðsjónar 7. gr. reglna nr. 918/2001.

Í öryggishandbók ÍE er gert ráð fyrir því að eigendur upplýsingaeigna geti verið fleiri en einn. Þar segir enn fremur að tilnefna skuli tiltekinn eiganda til að fara með ábyrgð fyrir hverja einstaka upplýsingaeign. Við skoðun sérfræðingsins reyndust skráðar upplýsingaeignir hins vegar ekki vera, með heildstæðum hætti, paraðar saman við tiltekna ábyrgðarmenn. Þó lá fyrir yfirlit um hverjir bera ábyrgð á helstu upplýsingaeignum fyrirtækisins.

Samkvæmt öryggishandbók ÍE gilda ákveðnar reglur varðandi aðkomu sjálfstæðra verktaka að einstökum verkefnum og segir þar m.a. að verktaki skuli undirrita sérstaka trúnaðaryfirlýsingu. Ennfremur segir að verklýsing og verksamningur skuli tilgreina hlutverk og ábyrgð verktakans með tilliti til öryggis persónuupplýsinga. Athugun sérfræðingsins leiddi í ljós að þessum reglum öryggishandbókarinnar hafði ekki verið framfylgt.


III.
Athugasemdir málsaðila við skýrslu sérfræðings

Með bréfi Persónuverndar, dags. 28. febrúar 2004, var framkvæmdastjóra lífsýnasafns ÍE send skýrsla sérfræðingsins og honum boðið að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags 30. mars 2004. Verður nú gerð grein fyrir athugasemdunum í sömu röð og öryggisráðstafanirnar voru taldar upp hér að framan.

1. Vinnuferli er tryggja eiga órofinn rekstur
Um þetta atriði segir:

"ÍE er kunnugt um þennan annmarka og er fastmótaðra kerfi til að endurskoða áætlanir af þessu tagi sem önnur skjöl tengd gagnaöryggi í þróun. Áætlað er að helstu ferlar verði komnir inn í slíkt kerfi fyrir árslok 2004."

2. Öryggisráðstafanir varðandi starfsmannamál
Varðandi kynningu á reglum um aðgang að húsnæðinu, umgengni um öryggissvæði og aðgang að tölvukerfum segir eftirfarandi:

"Þessar kynningar voru ekki formlega komnar í gang þegar viðkomandi starfsmaður hóf störf. Kynning á reglum um aðgang að húsnæði er hluti af afhendingarferli nýrra aðgangskorta hjá öryggisstjóra. Þegar tölvubúnaður er afhentur nýjum starfsmanni er honum afhent lykilorð og uppálagt að kynna sér reglur um tölvunotkun sem hægt er að finna á innraneti og er öllum starfsmönnum aðgengilegar."

Varðandi leiðbeiningarreglur öryggishandbókarinnar um dulkóðun tölvupósts voru gerðar eftirgreindar athugasemdir:

"Sendingar á dulrituðum pósti eru ekki algengar en þeir starfsmenn sem þess þurfa hafa fengið leiðbeiningar um slíkt. Viðkomandi starfsmaður viðurkenndi þó að vita hvert ætti að snúa sér ef hún þyrfti á þessari þekkingu að halda. Leiðbeiningar eru á innraneti og öllum aðgengilegar."

3. Endurskoðun og innra eftirlit
Það sem prófað var í þessu sambandi er sú skjalfesta öryggisráðstöfun að senda upplýsingar til starfsmanna um gagnaöryggi, þ.e. "öryggismola". Um þetta segir:

"Þessar sendingar hafa verið ýmist merktar "InfoSec Nugget" eða "InfoSec" í gegnum árin og einnig hafa nokkrar farið í gegn án merkingar frá öðrum starfsmönnum IT- Operations, til dæmis þegar varað er við nýjum afbrigðum vírusa sem eru í umferð. Lagfæra [þarf] merkingar á þessum sendingum og verður það gert."

4. Aðrar öryggisráðstafanir
Um ábyrgð á upplýsingaeignum samkvæmt eigendaskjali segir eftirfarandi:

"Að því er varðar öryggismál Íslenska lífsýnasafnsins þá leikur enginn vafi á ábyrgð og umsjón með lífsýnasafninu sjálfu eða upplýsingaeignum sem það varðar, sbr. Öryggishandbók safnsins (framkvæmdastjórn og ábyrgðarmaður framkvæmdastjóri).

Allur búnaður sem kemur varðveislu og öryggi lífsýnasafnsins er í eigu Íslenskrar erfðagreiningar. Rétt er hjá úttektaraðila að heildarlisti yfir ábyrgðar og umsjónaraðila innan ÍE á öllum upplýsingaeignum íslenskrar erfðagreiningar ehf. liggur ekki fyrir. Innan fyrirtækisins stendur yfir vinna við þessa skiptingu og er áætlað að henni ljúki á þessu ári. Ábending úttektaraðila er því réttmæt að því er varðar öryggishandbók ÍE."

Varðandi áskilnað öryggishandbókarinnar um að verktakar undirriti trúnaðaryfirlýsingar segir eftirfarandi:

"Brugðist hefur verið við þessu og þeir verktakar og þjónustuaðilar sem hafa aðgang að kerfum ÍE án eftirlits starfsmanns munu skrifa undir sérstaka trúnaðaryfirlýsingu."

Hvað varðar þá kröfu öryggishandbókarinnar að verklýsingar verktaka innhaldi lýsingu á öryggishlutverki þeirra segir þetta:

"Ekki er talin þörf á þessu fyrir þá verktaka sem hafa undirritað trúnaðaryfirlýsingar og verður því þetta skilyrði fellt niður í næstu endurskoðun Öryggishandbókarinnar (nóv. 2004)"
IV.
Niðurstaða

1.

Lög nr. 77/2000 fjalla um vinnslu persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með persónuupplýsingum átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Eru lífsýni því talin til persónuupplýsinga nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni, s.s. DNA. Lífsýni sem bera hins vegar með sér erfðaefni (DNA) teljast til persónuupplýsinga, þótt þau beri ekki með sér auðkenni s.s. nafn eða númer, enda geta þau eðli sínu samkvæmt ekki talist ópersónugreinanleg séu til staðar samanburðargögn sem gera unnt að rekja sýnin til tiltekinna einstaklinga.

Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með vinnslu átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af því leiðir að starfsemi lífsýnasafns sem felst í söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra telst til vinnslu persónuupplýsinga í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.

2.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000.

Við mat á því hvort sú vinnsla sem fram fer hjá lífsýnasafni Íslenskrar erfðagreiningar ehf. uppfylli skilyrði framangreindra ákvæða og sé þar með lögmæt verður að líta til þess að um starfsemi lífsýnasafna fer samkvæmt lögum nr. 110/2000 um lífsýnasöfn. Gildissvið þeirra er skilgreint í 2. gr. Þar kemur fram að lögin gilda um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum. Þau gilda ekki um tímabundna vörslu lífsýna sem safnað er vegna þjónusturannsókna, meðferðar eða afmarkaðra vísindarannsókna, enda sé slíkum sýnum eytt þegar þjónustu, meðferð eða rannsókn lýkur. Í 2. tl. 9. gr. laga nr. 77/2000 kemur fram að vinnsla viðkvæmra persónuupplýsinga er heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Að því virtu að starfsemi umrædds lífsýnasafns byggir á lögum nr. 110/2000 og hefur fengið leyfi heilbrigðisráðherra, dags. 28. desember 2001, telst vinnslan falla undir skilyrði framangreinds töluliðar og vera lögmæt. Hafa ber í huga að einstök ákvæði lífsýnalaga takmarka heimildir lífsýnasafna til vinnslu persónuupplýsinga sem ella kynni að vera heimil samkvæmt ákvæðum laga nr. 77/2000. Hins vegar varðar úttekt Persónuverndar nú aðeins þá vinnslu sem fellur undir gildissvið laga nr. 110/2000, s.s. hvort fullnægt sé kröfum þeirra um öryggisráðstafanir, en ekki aðra vinnslu á vegum ÍE, þ. á m. vegna afmarkaðra vísindarannsókna. Að því er varðar mat á því hvort vinnslan uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 má einkum líta til 1. tl. um samþykki hins skráða, en fyrir liggur að þeirra lífsýna sem varðveitt eru í safninu hefur verið aflað á grundvelli upplýsts samþykkis.

3.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Samkvæmt 8. tl. 5. gr. þeirra er það gert að skilyrði fyrir veitingu leyfis til reksturs lífsýnasafns "að öryggismat og öryggisráðstafanir við söfnun og meðferð lífsýna séu í samræmi við reglur sem Persónuvernd setur um öryggi persónuupplýsinga í lífsýnasöfnum". Með stoð í þessu ákvæði hefur Persónuvernd sett reglur nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Við framkvæmd úttektarinnar var sérstaklega tekið mið af kröfum umræddra reglna, enda mynda þær sérstakan réttargrundvöll fyrir öryggisúttektir á lífsýnasöfnum.

4.

Með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000, um lífsýnasöfn, hefur Persónuvernd, með aðstoð sérfræðings, látið framkvæma athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá lífsýnasafni ÍE ehf.

Eins og fyrr greinir fór úttektin fram á grundvelli skriflegra gagna, öryggishandbókar, sem ÍE lagði fram. Í skýrslu sem sérfræðingur vann fyrir Persónuvernd kemur fram að þótt þær ákvarðanir, sem liggja til grundvallar ákvörðunum um öryggismál hjá safninu, virðist að mestu vera skjalfestar vanti nokkuð upp á að það sé gert með nægilega skýrum og skipulagsbundnum hætti. Er í því sambandi m.a. vísað til þess að nokkuð skorti á tilvísanir til annarra skjala, svo sem verklagsreglna. Persónuvernd fellst á þessi sjónarmið sérfræðingsins og telur mikilvægt, þegar farin er sú leið við gerð öryggishandbókar að vísa til efnisatriða í öðrum gögnum, s.s. til ákveðinna verklagsreglna, að tilvísanir séu bæði skýrar og tæmandi.

Þegar hins vegar er litið til útkomu þeirra prófana sem gerðar voru á einstökum öryggisráðstöfunum safnsins, eins og þeim er lýst í gögnum málsins, telur Persónuvernd öryggiskerfi þess vera í ágætu ástandi. Þá ber að hafa í huga að sumar af þeim öryggisráðstöfunum sem ekki stóðust próf, að mati sérfræðingsins, má fremur telja til æskilegra aðgerða heldur en til nauðsynlegra öryggisráðstafana skv. reglum nr. 918/2001. Loks ber að líta til þess álits sérfræðingsins að ekki sé þörf brýnna úrbóta varðandi þær öryggisráðstafanir sem ekki reyndust vera í samræmi við lýsingar í framlögðum gögnum.

Að framangreindu virtu og með tilliti til þess að ábyrgðaraðili safnsins hefur lýst því yfir í bréfi dags. 30. mars. 2004 að hann hafi þegar bætt úr umræddum annmörkum, eða hyggist gera það innan skamms, telur Persónuvernd ekki vera efni til þess að beina sérstökum fyrirmælum til lífsýnasafns ÍE um úrbætur. Þá gerir Persónuvernd ekki athugasemd við þá fyrirætlun safnsins að fella brott kröfu öryggishandbókarinnar um að kveðið skuli á um öryggishlutverk verktaka í verklýsingum þeirra, enda sé þá tryggilega eftir því gengið að þeir undirriti sérstaka trúnaðaryfirlýsingu vegna verkefna sinna.

Samkvæmt framangreindu er því niðurstaða Persónuverndar sú að öryggiskerfi lífsýnasafns Íslenskrar erfðagreiningar ehf. hafi staðist þá prófun sem fram fór með úttekt stofnunarinnar á því.

Var efnið hjálplegt? Nei