Ákvörðun um flutning gagnasafna Embættis Landlæknis til Advania
Mál nr. 2017/1195
Persónuvernd hefur tekið ákvörðun í máli er varðar flutning á gagnasöfnum Embættis landlæknis til Advania. Í niðurstöðu Persónuverndar eru gerðar alvarlegar athugasemdir við það hvernig staðið var að undirbúningi flutningsins. Í ljósi þess að bætt var úr annmörkum á meðan málið var til meðferðar taldi Persónuvernd þó ekki tilefni til að mæla fyrir um úrbætur að svo stöddu.
Ákvörðun
Hinn 8. mars 2018 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2017/1195:
I.
Upphaf máls og bréfaskipti
1.
Þann 30. ágúst 2017 barst Persónuernd símtal frá starfsmanni Embættis landlæknis þar sem kom fram að embættið hefði flutt öll gagnasöfn sín, þ.m.t. viðkvæmar persónuupplýsingar um einstaklinga, í tölvuský hjá einkaaðila. Sama dag óskaði Persónuvernd, með bréfi, eftir nánari upplýsingum frá embættinu um flutninginn, m.a. um þær tegundir persónuupplýsinga sem hefðu verið fluttar, hvert þær hefðu verið fluttar, um hvaða tegund tölvuskýja væri að ræða, hvort áhættumat og öryggisráðstafanir hefðu legið fyrir áður en umræddar upplýsingar voru fluttar í tölvuský, hvort vinnslusamningur hefði legið fyrir, með hvaða hætti Embætti landlæknis sannreyndi að umræddur vinnsluaðili gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit og hvort gerður hefði verið samningsviðauki vegna upplýsingaöryggis við þjónustusamning viðkomandi vinnsluaðila. Þá óskaði Persónuvernd eftir afriti af öryggisstefnu, áhættumati fyrir flutning gagnasafna Embættis landlæknis í tölvuský og niðurstöðu þess, ásamt þeim öryggisráðstöfunum sem gripið hefði verið til, vinnslusamningi, ásamt gögnum sem staðfestu að Embættið hefði sannreynt að vinnsluaðili gæti framkvæmt öryggisráðstafanir og viðhaft innra eftirlit, auk þjónustusamnings við vinnsluaðila, með samningsviðauka vegna upplýsingaöryggis.
Svarbréf Embættis landlæknis er dagsett 11. september 2017. Þar kemur fram að gögn hafi ekki verið flutt í tölvuský heldur hafi upplýsingakerfum embættisins verið úthýst til Advania. Ekki standi til að flytja gögn í tölvuský. Þá segir að m.t.t. umfangs og öryggis upplýsinga hjá embættinu hafi það verið mat þess að nauðsynlegt væri að skoða aðra valkosti varðandi hýsingu og rekstur upplýsingakerfis þess. Upplýsingakerfið verði sífellt umfangsmeira, m.a. séu gerðar kröfur um uppitíma (sá tími sem unnt er að nota búnað) allan sólarhringinn, rekstrarsamfellu og varnir gegn netárásum. Sömuleiðis gangi vélbúnaður hratt úr sér og þarfnist endurnýjunar auk þess sem nýjungar í hugbúnaðar- og stýrikerfum kalli á örar uppfærslur sem hýsingaraðili sjái að hluta um.
Í bréfinu segir enn fremur að áður en ákvörðun hafi verið tekin um mögulegt útboð hafi verið metnir kostir og gallar úthýsingar, þ.m.t. með mati á áhættu úthýsingar eins og það snýr að öryggi viðkvæmra upplýsinga, samanborið við áframhaldandi rekstur innan veggja embættisins. Það hafi verið niðurstaða embættisins að úthýsing upplýsingakerfis væri hagstæðari bæði hvað varðar öryggi upplýsinga og kostnað við rekstur. Útboðsgögnin hafi verið unnin í samvinnu við ráðgjafa og Ríkiskaup og farið fram í októbermánuði 2016. Embættið hafi tekið tilboði Advania. Meginhluti upplýsingakerfisins hafi verið fluttur sumarið 2017. Þá sé unnið að frágangi á skjölun í kerfishandbók og unnið sé að því að fullgera þjónustu- og vinnslusamning.
Þá er í bréfinu óskað eftir fundi með Persónuvernd til að fara nánar yfir stöðu málsins. Sá fundur fór þann 26. september 2017 og hann sátu fulltrúar Persónuverndar ásamt fulltrúum Embættis landlæknis og ráðgjafa þess, [A]. Á fundinum var farið nánar yfir aðdraganda þess að ákveðið var að fara í útboð á hýsingu á tölvukerfi embættisins og hvernig staðið var að gerð útboðs og yfirfærslu upplýsinga frá embættinu til Advania. Þá kom fram af hálfu embættisins að litið væri svo á að vinnslusamningur hefði komist sjálfkrafa á þegar tilboði Advania var tekið í útboðsferlinu. Öryggisstjóri Embættis landlæknis lagði fram upplýsingaöryggisstefnu þess. Á fundinum ítrekuðu fulltrúar Persónuverndar nauðsyn þess að stofnunin fengi öll gögn málsins til að geta lagt mat á hvort staðið hefði verið með réttum hætti að flutningi þeirra persónuupplýsinga sem hér um ræddi.
Með tölvupósti þann 27. september 2017 bárust Persónuvernd sjö skjöl frá Embætti landlæknis. Í tölvupóstinum kemur fram að skjölin lýsi þeim vinnslusamningi sem hafi komist sjálfkrafa á við formlega töku tilboðs Advania. Þá greindi embættið frá því að kerfishandbók yrði tilbúin 2. október 2017, auk þess sem þann 4. s.m. yrði undirritaður uppfærður vinnslusamningur, þar sem kerfishandbókin yrði viðauki. Þessi skjöl yrðu send Persónuvernd eftir undirritun samnings. Umrædd skjöl voru sem hér greinir:
1. Minnisblað [A] ráðgjafa vegna útvistunar gagna og kerfa, dags. 20. september 2017.
2. Útboðslýsing að rammasamningi um hýsingu, þar sem kröfur til rammasamningsaðila eru skilgreindar.
3. Örútboðslýsing þar sem sérstækum kröfum Embættis landlæknis til hýsingar gagna og kerfisreksturs er lýst.
4. Viðauki II - yfirlit yfir helstu þjónustur og kerfi sem eru í keyrslu hjá embættinu.
5. Viðauki III - yfirlit yfir þann búnað sem var til staðar hjá embættinu.
6. Tilboðshefti sem bjóðendur skyldu fylla út og senda inn með tilboði sínu.
7. Einfalt áhættumat sem farið var yfir með Advania í desember 2017, áður en tilboði var tekið og samningur komst á.
Með tölvupósti þann 5. október 2017 óskaði Embætti landlæknis eftir athugasemdum Persónuverndar við drög að vinnslusamningi. Með tölvupósti þann 13. s.m. veitti Persónuvernd umbeðnar athugasemdir og leiðbeindi Embætti landlæknis um að í drögunum yrði að tilgreina í hverju fyrirmæli embættisins sem ábyrgðaraðila að vinnslu persónuupplýsinga, gagnvart Advania sem vinnsluaðila, ættu að felast, í samræmi við 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Með bréfi, dags. 3. nóvember 2017, afhenti Embætti landlæknis lokadrög að vinnslu- og rekstrarsamningi embættisins, ásamt eftirfarandi viðaukum:
1. Örútboðslýsing nr. 20386 og viðaukar á vegum Ríkiskaupa.
2. Fyrirspurnir og svör örútboðs nr. 20386.
3. Tilboð verksala við örútboðslýsingu nr. 20386 á vegum Ríkiskaupa.
4. Kerfishandbók til handa Advania (bæði vegna Heklu sem og vegna almennra kerfa Embættis landlæknis) ásamt viðaukum, dags. 25. október 2017, 1. útg.
5. Fundargerð skýringafundar 10. nóvember 2016.
6. Samningsviðauki vegna upplýsingaöryggis (umræðuskjal 1. desember 2016).
Með tölvupósti þann 3. nóvember 2017 óskaði Persónuvernd eftir frekari upplýsingum í tengslum við athugun málsins, nánar tiltekið gögnum sem sýndu fram á dagsetningu áhættumats og að samþykkis æðstu stjórnenda Embættis landlæknis hefði verið aflað, afriti af tilboði Advania ásamt gögnum sem sýndu fram á hvernig Embættið sannreyndi að Advania gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.
Svarbréf Embættis landlæknis barst Persónuvernd þann 8. s.m. Þar er framangreindum spurningum Persónuverndar svarað í þremur tölusettum liðum. Um fyrsta liðinn segir að þann 15. mars 2016 hafi vinnuhópur embættisins gengið frá sérstöku minnisblaði til framkvæmdastjórnar þess þar sem valkostir vegna reksturs upplýsingakerfa og gagnasafna þess voru skilgreindir og áhættugreindir. Að mati embættisins sé minnisblaðið ígildi áhættumats vegna verkefnisins, enda hafi hópurinn farið rækilega yfir öryggisþætti vegna hugsanlegrar úthýsingar og borið saman við þá stöðu sem hafi verið uppi í upplýsingatæknimálum hjá embættinu og kostir og gallar metnir. Þá séu ekki gerðar sérstakar kröfur í lögum nr. 77/2000 um form og útlit áhættumats og því sé það mat embættisins að minnisblaðið hafi fullnægt þeim kröfum sem lögin geri. Framkvæmdastjórn embættisins hafi síðan tekið ákvörðun um að fara í útboð á hýsingu á tölvukerfi þess.
Þá segir í framangreindu bréfi Embættis landlæknis að í desember 2016 hafi verið gerð drög að sérstöku áhættumati þegar samningaviðræður við Advania stóðu yfir. Þar hafi á einfaldan hátt verið metið hvaða ógnir gætu komið upp vegna fyrirhugaðs flutnings. Greining á þeim ógnum hafi verið gerð í samræmi við þá vitneskju sem embættið hafði um stöðu öryggismála hjá Advania. Allar niðurstöður hafi bent til þess að með samningi um hýsingu kerfa og gagna hjá Advania myndi öryggisstig aukast til muna. Þá er í bréfinu áréttuð sú afstaða embættisins að það hafi talið fullnægjandi að vinna lauslegt áhættumat í desember 2016 þar sem áhættugreining vinnuhópsins hafi þegar legið fyrir, auk þess sem legið hafi fyrir staðfesting Ríkiskaupa á að Advania uppfyllti allar lögboðnar kröfur um upplýsingaöryggi. Jafnframt hafi legið fyrir að embættið hygðist vinna ítarlegra áhættumat á allri starfsemi sinni.
Varðandi annan liðinn fylgdi með framangreindu bréfi tilboð Advania í örútboð á rekstri og hýsingu gagna og kerfa Embættis landlæknis í tveimur skjölum, annars vegar lýsing á tilboði og hins vegar tilboðshefti.
Um þriðja liðinn segir í bréfi Embættis landlæknis að Advania hafi verið valið inn í rammasamning Ríkiskaupa sem gildur samningsaðili. Það val hafi farið fram með útboði vorið 2016 hjá Ríkiskaupum. Þar hafi verið gerðar kröfur um ýmsa þætti, m.a. að þátttakendur í útboði væru með gæðakerfi, framkvæmdu innra eftirlit, hefðu framkvæmt áhættumat, væru með tiltekið öryggissstig vegna aðgangsöryggis, væru með traustar reglur um vinnslu persónuupplýsinga, væru með vottun skv. ISO/ÍST 27001:2013 o.fl. Ríkiskaup hafi sannreynt þessa þætti hjá þeim bjóðendum sem samið hafi verið við í rammasamningsútboðinu sem fram fór á árinu 2016, þ.m.t. Advania. Embætti landlæknis hafi fengið það staðfest frá Ríkiskaupum að Advania væri aðili að rammasamningnum og uppfyllti allar þær kröfur sem gerðar hefðu verið í rammaútboðinu. Auk þessa hafi verktaki á vegum Embættis landlæknis, í aðdraganda samningsgerðar, farið og kannað þessa þætti hjá Advania, skoðað verklagsreglur, gæðaeftirlit, innra eftirlit og húsnæði. Það hafi einnig verið mat hans að Advania hafi uppfyllt allar kröfur sem gera þyrfti.
Með tölvupósti þann 14. desember 2017 upplýsti Embætti landlæknis jafnframt um að það hefði lokið við gerð áhættumats á öryggi upplýsinga fyrir þau verðmæti sem féllu undir úthýsingarsamning við Advania, en meðal þeirra gagnasafna og kerfa sem tekin hefðu verið fyrir í matinu væru heilbrigðisskrár, gagnasöfnun, gögn í skjalakerfi og á netdrifum vegna starfsemi embættisins, miðlæg kerfi og miðlægur rekstur, netkerfi, vefþjónar og gáttir, tölvupósthús, notendakerfi og öryggisafrit. Þá hefði verið lokið við vinnu við að tilgreina aðgerðir til að minnka áhættu og staðfesta stýringar sem þyrfti að efla til að bæta stjórnun á öryggi upplýsinga, í samræmi við starfsreglur ISO/ÍST 27002:2013.
Þá var jafnframt upplýst um að verið væri að vinna áætlun um meðhöndlun áhættu með forgangsröðuðum og tímasettum verkefnum til útbóta og stefnt væri að því að sú ætlun myndi liggja fyrir í lok desember 2017.
Að lokum var tekið fram að framangreint áhættumat hefði verið byggt á meginreglum og leiðbeiningum í ISO 31000:2009 og aðferðir við áhættumat, val ráðstafana og áætlun um meðhöndlun áhættu væru í samræmi við kröfur ISO/ÍST 27001:2013.
Með tölvupósti þann 28. febrúar 2018 ítrekaði Persónuvernd beiðni sína um tæknileg gögn sem sýndu fram á hvenær áhættumatið í desember 2016, fundargerð stýrihóps og minnisblað vinnuhóps til stýrihóps, voru búin til. Þá óskaði Persónuvernd eftir upplýsingum frá embættinu um hvaða dag flutningur upplýsinga frá embættinu til Advania hefði hafist og hvenær hvaða upplýsingar hefðu verið fluttar til þess.
Svör við framangreindu bárust með tölvupósti þann 2. og 5. mars 2018. Annars vegar var í svörum embættisins að finna tæknilega staðfestingu á því hvenær framangreint áhættumati, fundargerð og minnisblað hefðu verið búin til. Hins vegar fylgdi með svörum þess yfirlit yfir hvenær flutningur upplýsinga frá embættinu til Advania hefði hafist og hvenær hvaða kerfi þess voru flutt yfir til fyrirtækisins. Í yfirlitinu kemur fram að flutningur upplýsingakerfa hafi hafist í byrjun maí 2017 og var stærstur hluti fluttur í þeim mánuði.
2.
Nánari lýsing á framlögðum gögnum frá Embætti landlæknis
Eftirfarandi umfjöllun er ætlað að vera til nánari skýringa á efni þeirra gagna sem Embætti landlæknis hefur lagt fram í máli þessu.
a. Útboðslýsing vegna rammasamnings með örútboðum á hýsingar- og rekstrarþjónustu nr. 20114.
Um framkvæmd útboða fer samkvæmt lögum nr. 120/2016 um opinber innkaup. Þar er nánar lýst því innkaupaferli sem fylgja ber við opinber útboð, en þar er m.a. gert ráð fyrir að kaupendur, einn eða fleiri, geti gert rammasamninga við eitt eða fleiri fyrirtæki í þeim tilgangi að slá föstum helstu skilmálum einstakra samninga sem gerðir verða á tilteknu tímabili, einkum að því er varðar verð og fyrirhugað magn, sbr. 17. tölul. 2. gr. laga nr. 120/2016. Í þeirri útboðslýsingu sem Persónuvernd barst eru settar fram kröfur sem gerðar eru til samningsaðila í rammasamningi hvað varðar hýsingar- og rekstrarþjónustu. Þá skulu tæknilýsingar vera í útboðsgögnum, sbr. 49. gr. laga nr. 120/2016. Í tæknilýsingu skal koma fram hvaða eiginleika verk, vara eða þjónusta þarf að uppfylla. Þessir eiginleikar geta vísað til sérstaks ferlis eða aðferðar við framleiðslu eða afhendingu viðkomandi verka, vara eða þjónustu. Í kafla 2 í framangreindri útboðslýsingu er fjallað um slíkar tæknilýsingar. Þar kemur m.a. fram að starfsmenn bjóðanda eru bundnir þagnarskyldu, að bjóðandi skal vera vottaður skv. ISO 27001-, 270002-staðli eða sambærilegum stöðlum, að bjóðandi skal hafa formlegt skjalað gæðakerfi, viðhafa innra eftirlit og að verkkaupi getur framkvæmt úttektir og prófanir hvenær sem er ef ástæða þykir til í samráði við bjóðanda. Þá eru gerðar kröfur um raunlægt öryggi, aðgangsstjórnun, rafræna vöktun, auk þess sem gerð er krafa um að áhættumat vegna hýsingar og reksturs tölvubúnaðar sé framkvæmt að lágmarki á tveggja ára fresti. Einnig kemur fram að bjóðandi skal uppfylla þær kröfur sem lög nr. 77/2000 og reglur nr. 299/2001 um öryggi persónuupplýsinga gera til vinnslu persónuupplýsinga. Þá skulu persónugreinanleg gögn vera dulkóðuð samkvæmt tilmælum verkkaupa. Samkvæmt upplýsingum af vefsíðu Ríkiskaupa telst Advania vera fullgildur aðili að framangreindum rammasamningi og hafa uppfyllt allar þær kröfur sem gerðar eru í útboðslýsingu.
b. Örútboðslýsing vegna hýsingar- og rekstrarþjónustu fyrir landlækni nr. 20386
Samkvæmt 35. tölul. 2. gr. laga nr. 120/2016 felur örútboð í sér innkaupaferli þar sem kaupandi leitar, með hæfilegum fyrirvara, skriflegra tilboða meðal rammasamningshafa sem efnt geta samning á grundvelli hlutlægra viðmiðana sem koma fram í útboðsskilmálum rammasamningsins. Ef skilmálar rammasamnings eru að einhverju leyti óákveðnir skal fara fram örútboð milli rammasamningshafa, eftir atvikum eftir að ítarlegri skilmálar eða tæknilegar kröfur hafa verið settar fram, að uppfylltum nánari skilyrðum, sbr. 5. mgr. 40. gr. laga nr. 120/2016.
Í kafla 12.2 í örútboðslýsingu vegna hýsingar- og rekstrarþjónustu landlæknis eru skilgreindar kröfur um 11 gæðaþætti sem koma til mats og er áskilið að bjóðendur fylli inn svör við spurningum um hvernig farið er að þeim. Þeir þættir sem koma til mats eru m.a. að bjóðandi bjóði upp á aðskilið umhverfi, þ.e. búnaður og gögn verkkaupa séu ekki samnýtt með öðrum aðilum, AD-umhverfi og póstþjóni sé ekki deilt með öðrum aðilum í umhverfi bjóðanda, bjóðendur bjóði upp á sérfræðinga í tilgreindum hugbúnaði, mikilvæg kerfi séu skilgreind, volgur varavélasalur sé til staðar vegna reksturs og unnt sé að gangsetja hann innan tilgreindra tímamarka, verksali prófi afrit með reglubundnum hætti, auk þess sem viðbragðstími til þjónustu vegna mikilvægra kerfa sé að hámarki 1 klst. Þá er gerð sú krafa að bjóðendur geti þess hvort þeir hafi útfært tiltekna ITIL-ferla í gæðahandbók sinni og hvort þeir styðji tilgreindar ITIL-þjónustur. Tiltekin stig eru gefin fyrir hvern og einn þátt uppfylli bjóðandi þær kröfur sem gerðar eru. Örútboðslýsing var send öllum seljendum í rammasamningnum, þ.m.t. Advania.
c. Minnisblað [A], ráðgjafa landlæknis við útboð á hýsingu og rekstri, dags. 20. september 2017
Í minnisblaðinu er greint frá hlutverki ráðgjafans við útboðsferlið. Þar kemur fram að kostnaðarmat hafi verið útfært, auk óformlegs áhættumats á mismunandi valkostum. Þá segir að gert hafi verið einfalt áhættumat sem ætlunin hafi verið að hafa sem viðauka við samning en fallið hafi verið frá því á síðari stigum. Umræðan hafi þó verið tekin og matið framkvæmt.
Um samninginn við Advania segir í minnisblaðinu að formlegur samningur hafi komist á í mars 2017 en í 86. gr. laga nr. 120/2016 komi skýrt fram að tilboð skuli samþykkja endanlega með skriflegum hætti innan gildistíma þess og sé þá kominn á bindandi samningur á milli aðila á grundvelli útboðsgagna og tilboðs bjóðanda. Samningurinn byggi á útboðsgögnum rammasamnings, sértækum útboðsgögnum Embættis landlæknis og tilboði Advania. Að mati ráðgjafans uppfylli þau gögn þær kröfur sem gerðar eru til vinnslusamninga skv. lögum nr. 77/2000. Þá hafi verið ákveðið að útfæra uppfærðan samning og lýsa samningsþáttum með ítarlegri hætti. Slíkur samningur myndi byggja á ítarlegri kerfishandbók þar sem ferlum væri lýst, samskiptum aðila, aðgangi einstakra nafngreindra aðila á vegum verksala o.s.frv.
Þá er í minnisblaðinu lýst þeim kröfum sem gerðar voru til bjóðenda í útboðinu. Að lokum er þeirri skoðun ráðgjafans lýst að framangreindur flutningur upplýsinga og kerfa frá Embættinu til Advania hafi aukið upplýsingaöryggi til muna.
d. Áhættumat vegna flutnings kerfa og gagna til Advania í desember 2016
Í áhættumatinu segir að farið hafi verið yfir helstu ógnir sem geti komið upp og kannað hvort og hvernig núverandi öryggiskerfi taki á þeim. Þá eru skilgreindir sex þættir sem taka þurfi afstöðu til hvað helstu ógnir varði og hvernig hýsingaraðili bregðist við þeim ógnum: þættir er varða öryggisstefnu, þættir er varða útfærslu öryggisstefnu, þættir er varða lög og reglugerðir, neyðaráætlun, afritun og aðgengi að afritun, aðgangur og aðgangsstýring. Í hverjum þætti er skilgreind ein ógn, að undanskildum fyrsta þætti þar sem þær eru þrjár. Þá eru metnar líkur á vandamáli eða fráviki, mikilvægi og hver áhættustuðullinn sé. Einnig er mælt fyrir um úrbótaferli ef við á. Í öllum tilvikum eru líkur á vandamáli eða fráviki metnar „litlar (1)“, mikilvægi metið „hátt (5)“ og áhættustuðull metinn „5 (undir viðmiðunarmörkum)“.
Niðurstaða áhættumatsins er sú að Embætti landlæknis telji flutning á gögnum og kerfi þess samrýmast lögum og reglum. Flutningsaðgerðin er ekki metin áhættusöm ein og sér, en þó segir að gerðar verði breytingar á öryggiskerfi embættisins vegna flutningsins til að tryggja öryggi enn frekar, auk þess sem embættið muni skilgreina úrbótaferli í tilteknum tilvikum til að minnka áhættu. Þá sé það mat embættisins að áhætta í rekstri aukist ekki þrátt fyrir að fyrirhugaður flutningur eigi sér stað. Í viðauka við áhættumatið er síðan að finna drög að útvistunarstefnu.
e. Vinnslu- og rekstrarsamningur um hýsingu og rekstur, lokadrög, dags. 3. nóvember 2017
Í kafla 3 í samningnum eru heimildir vinnsluaðila skilgreindar, en þar segir m.a. að vinnsluaðili skuli tryggja að gögn og kerfi verkkaupa séu til reiðu fyrir verkkaupa í samræmi við starfsemi hans, að fullkomin afrit séu ávallt til staðar af öllum gögnum verkkaupa, sem og lýsingum á kerfisumhverfi verkkaupa, að afrit séu aðgengileg í samræmi við lýsingar kerfishandbókar og að gögn og kerfi verkkaupa séu ávallt varin fyrir aðkomu utanaðkomandi aðila í samræmi við lýsingar kerfishandbókar og annarra viðauka. Þá eru nánari fyrirmæli ábyrgðaraðila til vinnsluaðila skilgreind í stafliðum a-f. Fylgigögn samningsins eru sjö talsins, sbr. framangreinda upptalningu í kafla I.1.
f. Fyrirspurnir og svör örútboðs nr. 20386, dags. 7. nóvember 2016
Um er að ræða 14 spurningar sem lagðar voru fyrir Advania en m.a. var óskað eftir nánari skýringum á því hvernig verkkaupi og starfsmenn ynnu samkvæmt vottuðum ferlum verksala og hvaða kröfur væru gerðar til verklags fulltrúa verkkaupa ef einhverjar væru. Í svari Advania kemur fram að unnið sé eftir ITIL v3-aðferðafræðinni. Þjónustuferlar og hýsingarumhverfi Advania hafi ennfremur hlotið vottun skv. ISO 27001-staðlinum um upplýsingaöryggi. Þá geri Advania þá kröfu að þjónusta félagsins standist kröfur staðalsins og hvergi sé hnikað frá verkferlum í veittri þjónustu. Umfram allt setji þetta ríkar kröfur á sérfræðinga Advania, en einnig þurfi að tryggja að viðskiptavinir fyrirtækisins tileinki sér rétt vinnubrögð í samskiptum við félagið, einkum hvað varði réttar boðleiðir vegna verkbeiðna og því að fara eftir ráðleggingum sérfræðinga Advania.
g. Tilboð Advania vegna örútboðs nr. 20386, ódags.
Í tilboðinu lýsti bjóðandi m.a. framkvæmd við flutning á þjónustu milli aðila, auk þess sem gerð var grein fyrir hvernig bjóðandi teldi sig uppfylla þær sértæku kröfur sem Embætti landlæknis gerði í útboðinu. Hvað varðaði kröfur vegna gæðaþátta, sbr. örútboðslýsingu hér að framan, uppfyllti Advania alla þættina. Þá er að finna nánari lýsingu á tveggja þátta auðkenningu, sem og þeim ITIL-ferlum sem fyrirtækið fylgir.
h. Kerfishandbók - lokadrög, dags. 1. nóvember 2017
Samkvæmt upphafskafla kerfishandbókarinnar er henni ætlað að veita yfirsýn og halda utan um öll grunnkerfi Embættis landlæknis sem hýst eru hjá Advania. Kerfishandbókin skiptist í nokkra kafla og tekur á atriðum á borð við kerfisskjölun og skýrslugerð, tölvuumhverfi, þjónustuþætti, notendur og aðgengi, netkerfi, jaðartæki og vefsíður, auk reksturs, eftirlits og viðhalds.
i. Minnisblað starfshóps um athugun á hagkvæmni þess að útvista rekstur tölvukerfis og geymslu á rafrænum gögnum Embættis landlæknis, dags. 15. mars 2016
Í minnisblaðinu eru teknir saman helstu áhrif útvistunar á starfsemi embættisins. Áhrifunum er skipt í þrjá þætti: kostnað, öryggi og almennt mat á kostum og göllum við útvistun. Hér skiptir helst máli sá kafli minnisblaðsins sem lýtur að öryggi upplýsinga eins og því var háttað áður en flutningur átti sér stað. Um það segir í minnisblaðinu að búast megi við verulegum ávinningi við flutning hvað varði öryggi gagna hjá embættinu þar sem krafist verði vottunar á umhverfi tölvukerfis þess. Skýrslur sem gerðar hafi verið hafi bent á ýmsa veikleika í því sambandi. Nú reki embættið fjögur mismunandi tölvuumhverfi og myndi nýtt fyrirkomulag því veita tækifæri á einföldun. Upplýsingaeignir embættisins séu að stórum hluta með hæstu áhættuflokkun sem þýði að mistök við meðferð mun hafa víðtækar afleiðingar. Erfitt sé að tryggja öryggi vélasalar í húsnæði embættisins og afritunarmál séu tæknilega ekki í nógu góðu lagi. Þá skipti máli að með auknum aðgangi lækna og almennings að lyfjagagnagrunni hafi skapast þörf fyrir aukið umfang í öryggismálum og tryggari uppitíma.
Um helstu kosti og galla hýsingarvalkosta segir að helstu kostir við að hýsa gögnin innan Embættisins felist í að það viti hvar gögnin séu og það sé ekki eins háð ytri aðilum, helstu gallar þess séu að gögn séu hýst í óvottuðum vélasal, húsnæði sé ótryggt og ófullnægjandi auk þess sem erfiðara sé að mæta kröfum um sólarhringsuppitíma. Helstu kostir úthýsingar eru sagðir vera öflugar varnir og öruggara rekstrarumhverfi og uppitími en helstu gallar hennar séu meiri hætta á árásum frá hökkurum, auk minni stjórnar á umhverfi.
j. Minnisblað [A] ráðgjafa, dags. 4. október 2017, vegna könnunar á verklagi og aðstöðu Advania vegna samnings um hýsingu og rekstur fyrir Embætti landlæknis
Í minnisblaðinu er greint frá því að [A] hafi verið fenginn til að yfirfara ýmsa samningsþætti, s.s. verklag, ITIL-ferla og aðstöðu verksala, og sannreyna að þeir þættir samrýmist kröfum útboðsgagna og lýsingum í tilboði og kerfishandbók. Hafi könnunin annars vegar farið fram með sameiginlegum fundi samningsaðila, auk þess sem kerfisrými Advania hafi verið könnuð m.t.t. þeirra krafna sem skilgreindar voru í útboðsgögnum. Samkvæmt minnisblaðinu var könnuninni skipt í sjö þætti:
1. Verkferlar: Staðfest hafi verið að tilteknar verklagsreglur séu til staðar og þær skoðaðar, m.a. um umgengni við persónugreinanleg gögn, heimildir til aðgangs og um yfirferð og uppfærslu öryggiskerfis. Um umgengni við persónugreinanleg gögn segir að gögn séu flokkuð í mismunandi flokka eftir eðli og hversu viðkvæm þau séu. Gögn viðskiptavina séu merkt sem trúnaðarskjöl, þ.m.t. persónugreinanleg gögn embættisins. Um slík gögn gildi ákveðnar umgengnisreglur sem hafi verið kannaðar. Þá sé aðgangur að þeim gögnum takmarkaður við aðgangslista þann sem skilgreindur er í samningi. Um heimild til aðgangs segir að verklagsreglan hafi síðast verið uppfærð 2016, lykilorðakerfi sé í samræmi við lýsingu kerfishandbókar, sérstakar reglur gildi um aðila sem komi að kerfisstjórnun og sameiginlegir aðgangar séu ekki notaðir. Um yfirferð og uppfærslu öryggiskerfis segir að öryggiskerfið sé uppfært árlega og að til staðar sé lýsing á sérstöku verklagi við þá uppfærslu.
2. ITIL-ferlar: Advania hafi staðfest að þeir ITIL-ferlar sem gerðar voru kröfur um í útboði séu til staðar hjá verksala og notaðir af honum. Auk þess hafi tilteknir ferlar verið skoðaðir eins og nánar er tilgreint í skjalinu.
3. Vottun: Vottorð Advania vegna ISO/ÍST 27001:2013 hafi verið skoðað og hafi vottunin reynst vera gild og í ljós komið að Advania hafi síðast verið tekið út 23. júní 2017. Vottunin nái yfir alla hýsingu og rekstur, auk tengdrar starfsemi og ferla.
4. Öryggisstefna: Staðfest hafi verið að Advania sé með öryggisstefnu, sem hafi verið uppfærð í febrúar og júní 2017.
5. Áhættumat: Staðfest hafi verið að áhættumat sé framkvæmt reglulega og að áhætta sé metin fyrir hvern eignaflokk. Þá sé framkvæmt áhættumat vegna innri upplýsingatækniþátta og á öllum helstu ferlum. Í áhættumati Advania sé einnig fjallað um áhættuþætti vegna umgengni starfsmanna Advania við upplýsingar viðskiptavina, auk þess sem Embætti landlæknis geri sérstakt áhættumat á persónugreinanlegum gögnum embættisins. Þá hafi fengist staðfest að niðurstöður áhættumata verði ræddar á reglulegum samráðsfundum.
6. Aðgangsheimildir starfsfólks Advania: Allir sem hafi aðgang að kerfum Embættis landlæknis séu tilgreindir með nafni í kerfishandbók. Aðgangsheimildir séu skoðaðar árlega eða samkvæmt beiðnum.
7. Umhverfi: Lýst er hvernig Advania fullnægir þeim kröfum sem gerðar voru í útboðslýsingu um varavélasali.
II.
Ákvörðun Persónuverndar
1.
Gildissvið o.fl.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Embætti landlæknis vera ábyrgðaraðili að umræddri vinnslu.
2.
Afmörkun máls
Eftirfarandi umfjöllun Persónuverndar miðast eingöngu við hvort öryggi persónuupplýsinga hafi verið tryggt þegar Embætti landlæknis flutti öll gagnasöfn sín, þ.m.t. skrár þess um um heilsufar, sjúkdóma, slys, lyfjaávísanir, starfsemi og árangur heilbrigðisþjónustunnar, og kerfi í hýsingu hjá Advania en ekki hvort fullnægjandi heimildir standi til vinnslu persónuupplýsinga hjá embættinu, sbr. 8. og 9. gr. laga nr. 77/2000. Þá afmarkast umfjöllunin annars vegar við það hvort fullnægjandi áhættumat hafi verið gert áður en umrædd gögn voru flutt og hins vegar hvort staðið hafi verið að gerð vinnslusamnings þannig að samrýmist kröfum laga nr. 77/2000.
3.
Lagaumhverfi og sjónarmið
Öll vinnsla persónuupplýsinga þarf að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr. laga nr. 77/2000, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Þá hefur Persónuvernd sett reglur um öryggi persónuupplýsinga nr. 299/2001. Í 2. tölul. 3. gr. reglnanna eru ábyrgðaraðilum veittar nánari leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið sé með. Markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Þá skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku.
Samkvæmt 12. gr. laga nr. 77/2000, sbr. nánari fyrirmæli í 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. laganna, sbr. einnig 9. gr. reglnanna, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á, en í lögunum er slíkur aðili nefndur vinnsluaðili, þ.e. aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. Eins og fram kemur í 13. gr. laganna og 9. gr. reglnanna er umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal hann gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.
4.
Niðurstaða um öryggi vinnslu persónuupplýsinga hjá Embætti landlæknis
Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hefur Persónuvernd athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Embætti landlæknis þegar gögn og kerfi þess voru flutt í hýsingarþjónustu hjá Advania.
Embætti landlæknis hefur með höndum umfangsmikla vinnslu viðkvæmra persónuupplýsinga um stóran hluta íslensku þjóðarinnar. Þannig skal embættið skv. 1. mgr. 8. gr. laga nr. 41/2007 um landlækni og lýðheilsu skipuleggja og halda skrár á landsvísu um heilsufar, sjúkdóma, slys, lyfjaávísanir, fæðingar, starfsemi og árangur heilbrigðisþjónustunnar.
Verður nú fjallað um hvort og að hvaða marki Embætti landlæknis uppfyllti skilyrði 11. og 13. gr. laga nr. 77/2000 og reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.
4.1.
Áhættumat
Líkt og að framan greinir er að finna leiðbeiningu í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 um efni áhættumats. Þá ræður eðli þeirra gagna sem verja á miklu um efni öryggiskrafna. Þannig verður almennt að gera mun ríkari öryggiskröfur þegar unnið er með viðkvæmar persónuupplýsingar, s.s. upplýsingar um heilsufar, en þegar unnið er með almennar persónuupplýsingar. Eftir atvikum þarf að líta til hönnunar, rekstrar, prófunar og viðhalds upplýsingakerfa, sem og mögulegra áfalla í rekstri.
Í svörum Embættis landlæknis segir að embættið líti á minnisblað vinnuhóps embættisins frá 15. mars 2016 sem ígildi áhættumats og bendir embættið á að ekki séu gerðar kröfur til forms eða útlits áhættumats í lögum nr. 77/2000.
Við mat á því hvort fullnægjandi áhættumat hafi verið framkvæmt áður en embættið samþykkti tilboð Advania verður fyrst að líta til þess að umrætt minnisblað var skrifað og samþykkt áður en örútboð hófst og hafði embættið ekki þær upplýsingar sem nauðsynlegar voru til að leggja mat á áhættu við flutning upplýsinganna til Advania. Þó svo að lög nr. 77/2000 og reglur nr. 299/2001 geri ekki sérstakar kröfur til forms og útlits áhættumats eru gerðar tilteknar efniskröfur, m.a. um að tilgreina skuli hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Minnisblaðið tilgreinir hins vegar ekki framangreinda þætti og tekur þar af leiðandi ekki afstöðu til þeirra.
Embættið hefur bent á að gert var áhættumat eftir að örútboð hófst, nánar tiltekið í desember 2016. Persónuvernd hefur farið yfir efni þess áhættumats en þar eru skilgreindir sex almennir áhættuþættir. Í hverjum þessara þátta er skilgreind ein ógn, að undanskildum fyrsta þætti þar sem þær eru þrjár. Við mat á líkum á vandamáli eða fráviki eru þær í öllum tilvikum metnar „litlar (1)“, mikilvægi ógnar metið „hátt (5)“ og áhættustuðull metinn „5 (undir viðmiðunarmörkum)“.
Persónuvernd bendir á að í áhættumatinu sé hvorki tilgreindur sá mælikvarði sem notaður er til að meta viðunandi áhættu né aðferðafræðin sem liggur að baki matinu. Þá er í áhættumatinu ekki að finna heildstæða lýsingu á þeim upplýsingaeignum sem það tekur til. Auk þessa kemur ekki fram skilgreining á því hver séu viðmiðunarmörk áhættustuðuls eða á hvaða tölulega bili áhætta geti verið. Það er mat Persónuverndar, með hliðsjón af eðli og umfangi þeirrar vinnslu persónuupplýsinga sem Embætti landlæknis ber ábyrgð á, að það sé í besta falli ósennilegt að eingöngu sjö ógnir geti stafað af flutningi gagnasafna og kerfa þess til Advania. Flestar ógnirnar í matinu snúa að aðgangsmálum og eru mjög almenns eðlis. Þannig er ekki tekið sérstaklega á netógnum eða ógnum sem eru tilkomnar vegna breytinga á starfsmannamálum. Einnig er „lög og reglugerðir“ tiltekið sem sérstök ógn, en þar er eingöngu að finna lög nr. 77/2000 og reglugerð nr. 299/2001. Hins vegar er ljóst að önnur löggjöf, t.d. lög nr. 41/2007 um landlækni og lýðheilsu, upplýsingalög nr. 140/2012 o.fl. geta skipt máli hér.
Með hliðsjón af framangreindu og því að hér er um að ræða umfangsmikið magn heilsufarsupplýsinga um nær alla íslensku þjóðina, er það mat Persónuverndar að hvorki framangreint minnisblað frá 15. mars 2016 né áhættumatið frá desember s.á. uppfylli þær kröfur sem gerðar eru til áhættumats skv. 11. gr. laga nr. 77/2000 og reglum nr. 299/2001. Persónuvernd gerir alvarlegar athugasemdir við að ekki hafi verið staðið að viðkomandi flutningi í samræmi við vandaða vinnsluhætti, sbr. 7. gr. laga nr. 77/2000, og gengið úr skugga um að öryggi vinnslunnar yrði tryggt með öllum þeim úrræðum sem embættinu eru veitt í lögum nr. 77/2000 og reglum nr. 299/2001, sérstaklega í ljósi eðlis og umfangs þeirra upplýsinga sem hér um ræðir áður en umrædd gögn voru afhent Advania.
Á meðan á meðferð málsins stóð framkvæmdi Embætti landlæknis nýtt áhættumat og lauk vinnu við það þann 14. desember 2017. Auk þess hefur embættið tilgreint aðgerðir til að draga úr áhættu og staðfest stýringar sem þyrfti að efla til að bæta stjórnun á öryggi upplýsinga. Samkvæmt upplýsingum frá embættinu er hið nýja áhættumat í samræmi við þær kröfur sem gerðar eru í ÍST ISO/IEC 27001:2013 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur. Í ljósi þess að bætt hefur verið úr annmörkum þeim sem hér hafa verið nefndir telur Persónuvernd ekki tilefni til að gefa fyrirmæli um úrbætur að svo stöddu.
4.2.
Vinnslusamningur
Líkt og að framan greinir er í 13. gr. laga nr. 77/2000, sbr. og 9. gr. reglna nr. 299/2001, mælt fyrir um heimild ábyrgðaraðila til að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Þetta er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal koma fram í vinnslusamningi að vinnsluaðila sé aðeins heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 og reglna nr. 299/2001 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast.
Í svörum og þeim skjölum sem borist hafa frá Embætti landlæknis er því haldið fram að þegar embættið hafi samþykkt tilboð Advania í kjölfar örútboðs hafi sjálfkrafa komist á bindandi vinnslusamningur, sbr. 86. gr. laga nr. 120/2016 um opinber útboð. Þátttakendur í örútboði hafi eingöngu verið þeir sem voru aðilar að rammasamningi um hýsingu. Samkvæmt samningnum séu ítarlegar kröfur gerðar til samningsaðila um upplýsingaöryggi, s.s. um að þeir skuli vera vottaðir skv. staðlinum ÍST ISO/IEC 27001:2013 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur. Þá hafi í örútboðinu verið gerðar enn frekari öryggiskröfur, auk þess sem ráðgjafi á vegum embættisins hafi kannað starfsemi Advania í október 2017 út frá þeim kröfum en flutningur kerfa og gagna embættisins fór að mestu leyti fram í maí 2017. Í kjölfarið hafi síðan verið undirritaður vinnslusamningur í nóvember 2017.
Persónuvernd telur ekki tilefni til athugasemda við minnisblað ráðgjafans og efni vinnslusamningsins. Þá fellst stofnunin á þau sjónarmið embættisins að þeir aðilar sem uppfylla skilyrði rammasamnings geti vissulega talist til hæfra vinnsluaðila og að bindandi samningur hafi komist á við samþykkt tilboðs.
Persónuvernd tekur þó fram að framangreint leysir ekki ábyrgðaraðila að vinnslu persónuupplýsinga, þ.e. Embætti landlæknis, undan þeirri skyldu sinni að kanna sjálfstætt hvort vinnsluaðili geti framkvæmt þær öryggisráðstafanir sem ábyrgðaraðilinn gerir kröfu um.
Í ljósi þessa, sem og umfangs og eðlis þeirra upplýsinga sem hér um ræðir, gerir Persónuvernd alvarlegar athugasemdir við að umrædd könnun á því hvort Advania gæti framkvæmt þær öryggisráðstafanir sem um vinnsluna gilda hafi ekki farið fram áður en umræddar persónuupplýsingar voru fluttar frá embættinu til Advania. Að mati Persónuverndar var framkvæmd Embættis landlæknis því ekki í samræmi við ákvæði 1. mgr. 13. gr. laga nr. 77/2000.
Með hliðsjón af þeim aðgerðum sem embættið hefur gripið til á meðan á meðferð málsins hefur staðið, m.a. með sjálfstæðri athugun á öryggi hjá Advania í október 2017, sem og undirritun vinnslusamnings og útgáfu kerfishandbókar, telur Persónuvernd hins vegar ekki tilefni að svo stöddu til að mæla fyrir um úrbætur á þeirri vinnslu sem hér um ræðir.
Á k v ö r ð u n a r o r ð:
Flutningur persónuupplýsinga frá Embætti landlæknis til Advania samrýmdist ekki 7. og 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Embætti landlæknis bar að sannreyna hvort Advania gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit, sbr. 1. mgr. 13. gr. laga nr. 77/2000.
Í ljósi þess að bætt hefur verið úr annmörkum telur Persónuvernd ekki tilefni til að gefa fyrirmæli um úrbætur að svo stöddu.