Um málshöfðun Íslenskrar erfðagreiningar vegna meintra trúnaðarbrota og um aðferðir Íslenskrar erfðagreiningar við rannsókn málsins
Vísað er til frétta í fjölmiðlum um málshöfðun Íslenskrar erfðagreiningar á hendur fimm fyrrverandi starfsmönnum fyrirtækisins vegna meintra trúnaðarbrota og um aðferðir Íslenskrar erfðagreiningar við rannsókn málsins.
Vísað er til frétta í fjölmiðlum um málshöfðun Íslenskrar erfðagreiningar á hendur fimm fyrrverandi starfsmönnum fyrirtækisins vegna meintra trúnaðarbrota og um aðferðir Íslenskrar erfðagreiningar við rannsókn málsins.
Þar sem Persónuvernd hafa borist ítrekaðar fyrirspurnir frá fjölmiðlum um viðbrögð stofnunarinnar við þessum atburðum hefur hún ákveðið að birta eftirfarandi upplýsingar um athugun sína á málinu. Frekari viðbragða eða upplýsinga er ekki að vænta frá Persónuvernd. Áréttað skal að Persónuvernd hefur enga afstöðu tekið til þess hvort Íslenskri erfðagreiningu hafi verið heimilt að skoða tölvupóst starfsmanna, né til annarra efnisatriða málsins, enda er málið nú í löglegum farvegi hjá öðrum aðilum, þ.e. lögreglu og dómstólum.
I.
Um fund Persónuverndar og Íslenskrar erfðagreiningar
1. Fundur í Íslenskri erfðagreiningu föstudaginn 29. september 2006
Föstudaginn 29. september var haldinn fundur í Íslenskri erfðagreiningu vegna málshöfðunar fyrirtækisins á hendur fimm fyrrverandi starfsmönnum þess. Málið er m.a. höfðað vegna afritunar ýmissa gagna og upplýsinga og flutnings þeirra til Bandaríkjanna. Tveir fletir á málinu snerta Persónuvernd;
1) Hvort á meðal umræddra gagna hafi verið persónuupplýsingar í skilningi laga nr. 77/2000
2) Hvort átt hafi sér stað skoðun á tölvupóstsendingum úr hotmail og yahoo netföngum starfsmannanna sem hafi brotið í bága við settar reglur
Fundinn sátu Páll Hreinsson, Arnaldur F. Axfjörð, Sigrún Jóhannesdóttir og Særún María Gunnarsdóttir frá Persónuvernd, en Þórir Haraldsson lögfræðingur, Tryggvi Rúnar Jónsson gagnaöryggisstjóri og Freyr Þórarinsson aðstoðarframkvæmdastjóri upplýsingatæknisviðs frá Íslenskri erfðagreiningu.
2.Tildrög málsins
ÞH hóf fundinn á því að lýsa aðdraganda málshöfðunarinnar, en lögbannsmál var höfðað á hendur fjórum fyrrverandi starfsmönnum ÍE í Bandaríkjunum í ágústmánuði "under seal," þ.e.a.s. í trúnaði. Var þeim trúnaði aflétt þegar réttarhöldin hófust þriðjudaginn 26. september sl.
Hinn 7. júní sl. gaf Children's Hospital of Philadelphia (CHOP) út fréttatilkynningu um stofnun rannsóknarmiðstöðvar undir forstöðu HH, fyrrum starfsmanns ÍE. Þetta vakti athygli ÍE þar sem að þess mati var rannsóknarmiðstöðin stofnuð í viðskiptalegum tilgangi og líkleg til að sækjast eftir styrkjum og fjármagni frá sömu aðilum og ÍE. M.ö.o. taldi ÍE að rannsóknarmiðstöðin væri byggð upp á svipaðan hátt og ÍE og væri ekki í samræmi við þá lýsingu sem HH hafði gefið þegar hann skýrði frá því að hann hyggðist hefja þar störf. Hjá ÍE kom fram að í júnímánuði hafi einnig orðið ljóst að þrír aðrir starfsmenn, sem nýlega hefðu sagt upp störfum, hefðu ráðið sig til starfa hjá rannsóknarmiðstöðinni eða á öðrum stöðum heldur en þeir höfðu tjáð ÍE.
Í júlíbyrjun barst ÍE síðan vísbending frá samstarfsaðila um að CHOP hefði nálgast sig með það fyrir augum að stofna til viðskiptalegs sambands. Í kjölfarið vöknuðu grunsemdir um brot HH á ráðningarsamningi hans við ÍE.
3. Rannsókn Íslenskrar erfðagreiningar
Þegar HH hætti störfum hjá ÍE varð tölvupóstur á netfangi hans hjá fyrirtækinu aðgengilegur eftirmanni hans. Var það með vitund HH og í samræmi við reglur fyrirtækisins, en samkvæmt þeim mun eftirmaður eiga að sjá um að framsenda tölvupóst sem berst fyrirrennara hans á netfangið.
Núgildandi reglur ÍE um meðferð tölvupósts er að finna í skjalinu "Computer Use Policy". Þær eru samdar af TRJ og eru að stofni til frá árinu 2004 og sæta reglubundinni endurskoðun. Í 5. gr. er fjallað um almenna notkun ("general use"), en þar segir m.a. "For security and network maintenance purposes, authorized individuals within deCODE may monitor equipment, systems and network traffic at any time" og "deCODE reserves the right to audit networks and systems on a periodic basis to ensure compliance with this policy." Þá er í 6. gr. fjallað um öryggi ("security") og í 7. gr. um óheimila notkun ("unacceptable use"). Reglulega hafa verið sendar út áminningar til allra starfsmanna um að kynna sér efni reglnanna. Þá er, í ráðningarsamningum, að finna skuldbindingu til að fara að reglum fyrirtækisins, en ekki er þó sérstaklega vísað til þessara tilteknu reglna.
12. júlí sl. ákvað ÍE að halda tölvupósti þeirra fjögurra starfsmanna sem komnir voru til starfa hjá CHOP til haga ásamt þeim tölvubúnaði sem þeir höfðu til umráða hjá fyrirtækinu. ÍE upplýsti að félagið hefði leitað liðsinnis bandarísks fyrirtækis sem heitir First Advantage og hinn 29. júlí sl. hafi aðilar þaðan komið hingað til lands. Þá hafi vinnustöðvar og borðtölvur umræddra starfsmanna verið rannsakaðar, en þær höfðu þá allar nema ein þegar verið teknar úr notkun. Tölvur þeirra fjögurra starfsmanna sem að ofan greinir hafi verið athugaðar í húsakynnum ÍE og leitað verið eftir tilteknum stikkorðum í þeim. Við þá athugun hafi komið í ljós atriði sem fyrirtækið telur renna stoðum undir grunsemdir sínar um brot starfsmannanna. HH hafi skilað fartölvu í eigu ÍE til FA, en ekki hafi reynst unnt að lesa gögn af henni fyrr en komið var með hana til ÍE þar sem diskar í öllum fartölvum ÍE væru dulkóðaðir. ÍE kvað athugun hafa leitt í ljóst að reynt hefði verið að þurrka gögn út af stýrikerfinu í tölvu HH með þar til gerðu forriti, en það ekki heppnast.
Það sem varðveitt var á harða drifinu í tölvunum var meðal annars stýrikerfi þeirra ásamt færsluskrám, en þar var að finna vísanir í skrár sem hafði verið eytt og vefsíður sem höfðu geymst í biðminni (cache) Internet vafra. Athugun fór þannig fram að myndir (e. image) voru teknar af harða drifinu, þær keyrðar í gegnum forritið EnCase og leitað eftir stikkorðum, m.a. CHOP. Vísanir sem þannig fengust voru síðan sóttar úr stýrikerfinu. Voru þar á meðal afrit af vefsíðum sem sýna myndir af tölvubréfum sem send voru í gegnum vefpósthús, t.d. hotmail. Það athugast þó að hvorki lykilorð né öruggar síður (https://) vistast í stýrikerfinu með þessum hætti, og því var ekki um það að ræða að pósthólf starfsmannanna hefðu verið opnuð með lykilorði heldur voru skoðaðar skjámyndir af tölvubréfum í vefsíðum. Þessi afritun á vefsíðum í biðminni er sjálfvirk, en hægt er að slökkva á henni. Þetta er eina leiðin sem er fær til að skoða hotmail tölvupóst eftir á þar sem hann vistast ekki á miðlægum netþjóni fyrirtækisins heldur geymist eingöngu í færsluskrám stýrikerfisins á harða diski útstöðvar. Af netþjóni er eingöngu hægt að sjá hvaða ip-tala innanhúss tengist hvaða vefþjóni á hverjum tíma, og þannig er unnt að rekja tengingar við vefsíður á Internetinu, en ekki innihald þeirra.
Eftir að skoðun á tölvunum fór fram taldi ÍE sig hafa undir höndum sterk sönnunargögn fyrir tengslum á milli fimm einstaklinga (sjá t.d. bls. 39-40 í íslenskri þýðingu stefnu) og brotum af þeirra hálfu. M.a. hafi verið leitt í ljós að HH hafi sent frá sér læsta skrá og síðar lykil til að opna hana. ÍE telur að háttsemi þessi hafi jafnvel byrjað í september á síðasta ári. HH hafi samið við CHOP hinn 25. desember 2005 þrátt fyrir að hafa ekki sagt upp starfi sínu hjá ÍE fyrr en í janúarlok 2006.
Hvað varðar þátt starfsmannsins JS í málinu þá greindu fulltrúar ÍE frá því að grunur hafi beinst að honum eftir rannsókn á vinnustöðvum hinna starfsmannanna fjögurra, en þar hafi verið tölvupóstar til hans sem ÍE taldi sanna aðild hans að málinu. Hinn 8. ágúst sl. var lögð fram kæra á hendur honum til efnahagsbrotadeildar ríkislögreglustjórans. Sú kæra beinist að JS einum, en ekki er staðfest að hann hafi horfið til starfa hjá CHOP eins og hinir starfsmennirnir fjórir. JS fór erlendis en var handtekinn við komu til landsins og hafði þá í fórum sínum nýja, ónotaða fartölvu sem var haldlögð. Húsleit var gerð heima hjá honum en þar fannst enginn harður diskur. Komið hafi fram við rannsókn efnahagsbrotadeildar ríkislögreglustjóra að annar einstaklingur, sem ekki var nafngreindur, hafi farið með 250 GB útværan harðan disk af heimili JS á lögmannsstofu í Reykjavík og þangað náði lögreglan í hann. Lögmannsstofan afhenti lögreglu diskinn en tók fram að hún væri ekki í forsvari fyrir JS. Efnahagsbrotadeild RLS hefur vinnustöð JS og þennan disk undir höndum og hefur í þágu rannsóknar málsins skoðað gögn á þeim. Hafi ÍE verið greint frá því að við skoðun lögreglu á diskinum hafi komið í ljós að hinn 16. júní hefði hann verið staddur í húsakynnum ÍE fram eftir kvöldi og hlaðið niður um 30 þúsund skrám. Niðurhalinu hafi hann haldið áfram og lægi fyrir að heildarfjöldi skráa sem hann afritaði hafi verið yfir 90 þúsund. ÍE hefði verið afhent spegilmynd sem hafi verið send sérfræðingum fyrirtækisins erlendis til rannsóknar.
Af hálfu ÍE var tekið fram að ekki er strangt eftirlit með afritun gagna innan fyrirtækisins, enda byggist starfsemin öðrum þræði á aðgangi vísindamannanna að gögnum. ÍE kvað afritun og undanskot gagna hafa farið fram með afritun á útværa harða diska og sendingum í tölvupósti. Tekið var fram að aðeins tveir starfsmenn ÍE hefðu skoðað hin spegluðu gögn.
4. Staða máls
Á fundinum kom fram að vegna málshöfðunar fyrir alríkisdómstóli í Bandaríkjunum hefðu öll gögn verið fryst. Það þýðir að ekki má nota þau með neinum hætti án þess að vera "in contempt of court." Brot gegn því gætu varðað þungum viðurlögum og taldi ÍE að það ætti í raun að tryggja öryggi gagnanna upp að vissu marki.
ÍE tók fram að gengið hefði verið úr skugga um að viðkomandi starfsmenn hefðu ekki komist yfir IPS-kerfið, en það er dulkóðunarkerfi sem Persónuvernd gaf ÍE fyrirmæli um að nota til að dulkóða raunveruleg persónuauðkenni þannig að sk. PN-númer komi í þeirra stað. Dulkóðunarkerfi þetta er ekki í vörslum ÍE heldur sérstakrar sjálfseignarstofunar, Þjónustumiðstöðvar rannsóknarverkefna. Engar vísbendingar komu fram misbresti á öryggi þess kerfis.
Loks kom fram að umrædd gögn væru að mestu afleiddar skrár, þ.e.a.s. skrár sem hefðu að geyma rannsóknarniðurstöður, en ekki væri unnt að tengja þær við einstaklinga. Hugsanlega væru þar þó einhver gögn merkt PN-númerum.
5. Ákvörðun
Af hálfu Persónuvernd var lagt fyrir Íslenska erfðagreiningu að:
1) Kanna með tryggum hætti hvort umrædd gögn væru merkt með PN-númerum eða ekki og upplýsa Persónuvernd um það.
2) Senda Persónuvernd bréflega lýsingu á því með hvaða hætti skoðun á tölvupósti umræddra starfsmanna fór fram.
Af hálfu Persónuverndar kom fram að þegar hún hefði fengið umbeðnar skýringar myndi hún taka ákvörðun um hvort hún hefði frekari afskipti af málinu og þá hvaða.
II.
Ákvörðun stjórnar Persónuverndar
Fjallað var um málið á fundi stjórnar Persónuverndar, hinn 23. október sl., og eftirfarandi ákveðið:
Að í ljósi þeirra skýringa sem fram komu á fundi Persónuverndar og Íslenskrar erfðagreiningar um það, með hvaða hætti starfsmenn fengu reglubundna fræðslu um gildandi reglur um tölvunotkun og meðferð gagna á tölvutæku formi, og þá aðferð sem notuð var við skoðun á umræddum gögnum, myndi Persónuvernd ekki, að eigin frumkvæði, taka þennan þátt málsins til nánari athugunar.
Að árétta við Íslenska erfðagreiningu að hún veitti Persónuvernd svör um það hvort þau gögn sem um er deilt í málinu hefðu að geyma sk. PN-númer, en það eru dulkóðuð númer sem sett eru á rannsóknargögn í stað hefðbundinna persónuauðkenna, s.s. nafna og kennitalna
Að ekki væri ástæða til að gera sérstaka athugun á því hvort umrædda atburði mætti rekja til ófullnægjandi öryggisráðstafana. Byggðist sú afstaða á því að ekkert hefði komið fram er gæfi nægt tilefni til að ætla að ekki hefðu verið viðhafðar öryggisráðstafanir sem eðlilegt og sanngjarnt væri að gera kröfur um.
III.
Þann 27. október barst Persónuvernd bréf Íslenskrar erfðagreiningar þar sem m.a. kemur fram að engin PN-númer sé að finna í þeim gögnum sem um ræðir. Af því leiðir að um er að ræða gögn sem eru með öllu ópersónugreinanleg. Með vísan til þess og ákvörðunar stjórnar Persónuverndar á fundi hennar hinn 23. október sl., mun stofnunin því ekki aðhafast frekar í máli þessu nema sérstakt tilefni gefist.