Úrlausnir

Niðurstaða úttektar á öryggiskerfi lífsýnasafns Hjartaverndar

31.5.2006

I.
Boðun úttektar og bréfaskipti
Með bréfi Persónuverndar til Hjartaverndar, dags. 30. júlí 2002, var, með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á öryggiskerfi lífsýnasafns samtakanna. Eins og greint var frá í bréfinu er úttektin liður í heildstæðri athugun Persónuverndar á öryggi persónuupplýsinga hjá flestum lífsýnasöfnum á landinu.

Í framangreindu bréfi óskaði Persónuvernd eftir því að Hjartavernd legði fram skrifleg gögn um öryggiskerfi lífsýnasafnsins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggi ráðstöfunum.

Nokkuð dróst að Persónuvernd bærust umbeðin gögn, þar sem Hjartavernd fór fram á það við Persónuvernd að fá frest til þess að afhenda gögnin, fyrst með bréfi, dags. 4. september 2002, og síðan aftur með bréfi, dags. 27. nóvember 2002. Þann 17. janúar 2003 bárust Persónuvernd umbeðin gögn frá Hjartavernd, þ.e. "Handbók um öryggi gagna", dags. 15. s.m.

Með bréfi Persónuverndar, dags 13. desember 2002, voru Hjartavernd kynntar hugmyndir stofnunarinnar um framhald úttektarinnar. Þá var gerð grein fyrir áætluðum kostnaði samtakanna vegna hennar, sbr. 4. mgr. 37. gr. laga nr. 77/2000. Með bréfi Hjartaverndar, dags. 15. janúar, voru hins vegar gerðar athugasemdir við fjárhæð kostnaðaráætlunarinnar. Af þessu tilefni og vegna anna Persónuverndar við framkvæmd úttekta á öryggi persónuupplýsinga hjá öðrum ábyrgðaraðilum var ákveðið að slá úttektinni á frest um óákveðinn tíma, sbr. bréf þess efnis til Hjartaverndar dags. 14. febrúar 2003. Var þess jafnframt getið í bréfinu að Hjartavernd yrði tilkynnt um framhald úttektarinnar með hæfilegum fyrirvara.

Með bréfi Persónuverndar, dags. 21. október 2003, var Hjartavernd tilkynnt um þá ákvörðun Persónuverndar að halda úttektinni áfram. Bréfinu fylgdi jafnframt endurskoðuð kostnaðaráætlun sem Hjartavernd var gefið færi á að gera athugasemdir við. Þann 11. desember 2003 féllst Hjartavernd á umrædda kostnaðaráætlun með tilteknum fyrirvara, sbr. bréf samtakanna þess efnis dagsett sama dag. Gerði Persónuvernd fyrir sitt leyti ekki athugasemd við þann fyrirvara.


II.
Aðkoma sérfræðings að úttektinni og
skýrsla hans um niðurstöðu vettvangsathugunar

1.

Þann 9. janúar 2004 gerði Persónuvernd samning við verkfræði- og tölvuþjónustufyrirtækið Stika um framkvæmd vettvangsathugunar á starfsstöð lífsýnasafns Hjartaverndar og um að Persónuvernd yrði afhent skýrsla um niðurstöðu hennar. Eru sérfræðingar félagsins sem unnu samkvæmt samningnum bundnir trúnaðar- og þagnarskyldu um það sem þeir urðu áskynja um í störfum sínum fyrir Persónuvernd, sbr. ákvæði samnings og skriflegar yfirlýsingar þar að lútandi.

Samkvæmt samningnum skyldi sérfræðingur á vegum Stika, þ.e. Svana Helen Björnsdóttir verkfræðingur, fara yfir gögn frá Hjartavernd, s.s. öryggisstefnu, áhættumat og verklýsingar af ýmsu tagi. Því næst skyldi hún heimsækja þá staði þar sem vinnsla samtakanna á persónuupplýsingum færi fram og staðfesta að verklag væri með þeim hætti sem lýst væri í framlögðum gögnum. Að þessu loknu skyldi hún skila Persónuvernd lokaskýrslu um niðurstöður vettvangsskoðunarinnar, þar sem fram kæmi álit hennar á því hvort að vinnsla Hjartaverndar fullnægði kröfum öryggisreglna Persónuverndar nr. 299/2001.


2.

Við framkvæmd úttektar á starfsstöð Hjartaverndar í febrúarmánuði voru haldnir tveir fundir með forsvarsmönnum samtakanna auk þess sem vettvangsskoðun fór fram. Greint er frá niðurstöðum þessarar skoðunar í skýrslu Svönu Helen Björnsdóttur frá mars 2004. Í niðurstöðukafla skýrslunnar er lagt mat á þau skriflegu gögn um öryggi persónuupplýsinga sem lögð voru fram af hálfu ábyrgðaraðila safnsins og liggja til grundvallar úttektinni, þ.e. öryggisstefna og áhættumat Hjartaverndar.

Um öryggisstefnu samtakanna segir eftirfarandi:

"Öryggisstefna Hjartaverndar lýsir ágætlega þeirri áherslu sem stjórnendur Hjartaverndar leggja á upplýsingaöryggi. Markmið mega þó vera skýrari og formlega staðfestingu öryggisstefnunnar með dagsetningu og undirritun stjórnenda vantar. Í stefnunni er ekki sérstaklega getið um að fylgt sé öryggisstöðlum. Í inngangi öryggishandbókar kemur þó fram að handbókin taki mið af ÍST ISO/IEC 17799:2000."

Um áhættumat Hjartaverndar segir eftirfarandi:

"Formlegt áhættumat samkvæmt ISO 17799 fór fram í janúar 2003 og nær það einnig til lífsýnasafns. Matið er fullnægjandi sem slíkt að öðru leyti en því að eignaskrá er ófullnægjandi. Í matinu kemur ekki fram hvort stjórnendur Hjartaverndar hafa samþykkt hvað sé ásættanleg áhætta fyrir hverja eign. Þar sem rúmlega ár er liðið frá síðasta mati er full ástaæða til endurtaka það sem fyrst."

Þá er lagt heildstætt mat á það hvort að öryggiskerfi lífsýnasafns Hjartaverndar, þ.m.t. öryggishandbók þess, fullnægi kröfum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, auk reglna nr. 299/2001 sem settar hafa verið með stoð í lögunum. Um þetta segir í skýrslunni:

"Við þessa skýrslugerð kom ekkert fram sem bendir til annars en að reglum nr. 299/2001 um öryggi persónuupplýsinga sé fylgt hjá Hjartavernd. Öryggiskerfi hefur verið byggt upp skv. ákvæðum reglnanna. Öryggisstefna Hjartaverndar gildir einnig fyrir lífsýnasafn. Áhættumat hefur farið fram. Margháttað eftirlit er með vinnslu upplýsinga í allri starfsemi Hjartaverndar. Fullnægjandi innra eftirlit er til staðar. Þessu eftirliti er að hluta lýst öryggishandbók, en mætti gjarnan gera betur skil sem samræmdu og formlegu innra eftirliti. Á fundum með stjórnendum kom vel fram að lýsingar í öryggishandbókinni eru ekki tæmandi og ýmsar ráðstafanir og verklag sem hefur verið innleitt kemur ekki fram í handbókinni."


3.

Varðandi umfjöllun um einstaka efnisþætti í öryggiskerfinu er í skýrslunni fylgt efnisröðun öryggisstaðalsins ÍST ISO 17799:2000, en í kafla hennar um skipulag öryggismála er jafnframt tekið mið af reglum Persónuverndar nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Ekki eru talin vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem að við skoðun reyndust vera, að mati skýrsluhöfundar, í samræmi við kröfur öryggisreglna Persónuverndar nr. 299/2001 og fyrrgreindar reglur nr. 918/2001. Hins vegar verður farið yfir þau atriði í öryggiskerfi Hjartaverndar sem skýrsluhöfundur taldi gefa tilefni til athugasemda í ljósi nefndra reglna.

3.1. Flokkun eigna og stýring þeirra
Í öryggishandbók Hjartaverndar eru helstu upplýsingaeignir samtakanna teknar saman í sjö eignahópa, sem þar er gerð nánari grein fyrir. Varðandi þessa flokkun upplýsingaeigna segir í skýrslu sérfræðingsins:

"Ekki er gerð nánari grein fyrir þessum eignahópum eða einstökum eignum í hverjum hóp. Ekki er gerð grein fyrir upplýsingaeignum á borð við sjúkraskrár Hjartaverndar, húsnæði, þekkingu starfsmanna, ímynd og samböndum Hjartaverndar við innlenda og erlenda samstarfsaðila. Ofangreind eignaskrá er því ófullnægjandi".

3.2. Starfsmenn og öryggi
Í 3. tl. 5. gr. reglna nr. 299/2001 segir að gera skuli eftirfarandi öryggisráðstafanir varðandi starfsmannamál, sbr. og 2. mgr. 7. gr. reglna nr. 918/2001: "Skilgreina með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum.". Þá segir í 6. tl. 5. gr. reglna nr. 918/2001, sbr. og 3. mgr. 7. gr. þeirra, að í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns skuli eftirfarandi koma fram: "Hvaða leiðbeiningar starfsmenn hafi fengið um viðbrögð við öryggisógnun og öryggisbrotum."

Í kafla um starfsmenn og öryggi segir eftirfarandi í skýrslu sérfræðingsins:

"Ekki kom fram hvort starfslýsingar eru til fyrir alla starfsmenn eða hvort sérstaklega er getið um ábyrgð á upplýsingaöryggi í þeim. Hins vegar undirrita allir starfsmenn Hjartaverndar trúnaðaryfirlýsingu í samræmi við 5. lið öryggisstefnu [...]

Í öryggishandbók er fjallað um viðbrögð við misnotkun gagna og í skipulagsskrá lífsýnasafns er fjallað um brot á öryggisreglum. Fram kemur að öryggisstjóri skuli rannsaka mál og tilkynna forstöðulækni um niðurstöður sínar. Forstöðulæknir ákveði síðan frekari aðgerðir. Ekki liggur fyrir hvaða leiðbeiningar starfsmenn fá varðandi viðbrögð við öryggisógnum og öryggisbrotum."

3.3. Stjórnun á rekstrarsamfellu
Rekstraraðili lífsýnasafns skal viðhafa sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og öryggi skaðist, af völdum náttúruhamfara, slysa, bilunar í búnaði eða skemmdarverka, sbr. nánar efni 2. mgr. 6. gr. reglna nr. 918/2001, sbr. og 3. tl. 3. gr. reglna nr. 299/2001.

Um öryggisráðstafanir í þessu sambandi segir eftirfarandi í skýrslu sérfræðingsins:

"Í öryggishandbók Hjartaverndar eru lýsingar á ýmsum ráðstöfunum sem gerðar hafa verið til að tryggja samfelldan rekstur. Þó hafa ekki verið settar fram formlegar áætlanir um hvernig tryggja eigi rekstur Hjartaverndar ef áföll verða."


3.4. Öryggi persónuupplýsinga við förgun
Vikið er sérstaklega að förgun persónuupplýsinga í skýrslu sérfræðingsins, en þar segir:

"Í öryggishandbók Hjartaverndar eru ekki sérstök ákvæði um förgun gagna eða gagnamiðla. Full ástæða er til að fjalla sérstaklega um öryggi við förgun í öryggishandbók."


III.
Athugasemdir málsaðila við skýrslu sérfræðings

Með bréfi Persónuverndar, dags. 2. apríl 2004, var Hjartavernd send skýrsla sérfræðingsins og samtökunum boðið að gera athugasemdir við hana. Athugasemdir Hjartaverndar bárust Persónuvernd með bréfi, dags 28. maí 2004, og voru þær svohljóðandi:

"Ég, fyrir hönd Hjartaverndar er í öllum atriðum ánægður með þá úttekt sem var gerð og get ég ekki séð að neitt sérstakt sé í skýrslunni sem virkilega varðar vandamál varðandi öryggi persónuupplýsinga og lífsýna í lífsýnasafni. Það eru örfá atriði sem ég vil þó svara. Fyrst er það 4.1.3. 6 lið er fjalla um hvaða leiðbeiningar starfsmenn hafa vegna viðbragða við öryggisógnunum og öryggisbrotum. Sagt er að ekki sé sérstaklega fjallað um þetta það er ekki alveg rétt því að víða í öryggishandbókinni er tekið á þessu sérstaklega og fyrst er tekið á því varðandi þjálfun starfsfólks og síðan er í hverjum kafla fyrir sig viðbrögð vegna hinna ýmsu þátta. Ég sé ekki ástæðu til að telja það sérstaklega upp þar sem það er augljóst. Í öðru lagi þá er sagt á blaðsíðu 14 í kafla 4.1.6. "að ræsting fer fram á vinnutíma og er framkvæmd af starfsmönnum Hjartaverndar" Þetta er ekki allskostar rétt þar sem ræsting er gerð af fyrirtækinu ISS. Þeir starfsmenn sem vinna við þrif hjá Hjartavernd eru látnir skrifa undir sérstaka trúnaðaryfirlýsingu. Að lokum vil ég benda á lið 5.4. um öryggi persónuupplýsinga við förgun, að unnið er að því að setja upp reglur varðandi þetta. En förgun gagna í Hjartavernd hefur hingað til verið gerð undir eftirliti öryggisstjóra þá sjaldan að hún hefur verið."

Í tilefni af athugasemdum í skýrslu sérfræðingsins varðandi starfsmenn og öryggi, þ.e. að ekki hafi komið fram hvort starfslýsingar væru til fyrir alla starfsmenn eða hvort sérstaklega væri getið um ábyrgð á upplýsingaöryggi í þeim, þótti Persónuvernd að leita eftir skýringum Hjartaverndar á þessu tiltekna atriði, sbr. bréf stofnunarinnar dags. 2. júlí 2004. Svar Hjartaverndar barst Persónuvernd með bréfi, dags. 15. júlí sl., en í því segir m.a. eftirfarandi:

"....Þessu er til að svara að starfslýsing er til fyrir alla starfsmenn Hjartaverndar. Í starfssamningi allra starfsmanna er sérstaklega getið um trúnað enda er starfsemin með þeim hætti að almenn meðhöndlun upplýsinga um skjólstæðinga Hjartaverndar er hluti af starfi nær allra starfsmanna stofnunarinnar. Ekki var talin ástæða til að leggja fram starfslýsingar einstakra starfsmanna eða starfssamninga þeirra þar sem reglur eru almenns eðlis líkt og á öðrum heilbrigðisstofnunum sem skoða og rannsaka fólk og hafa undir höndum sjúkraskrár. Að auki skrifa allir starfsmenn undir sérstaka ítarlega trúnaðaryfirlýsingu þar sem meðal annars er getið um trúnað á meðferð persónuupplýsinga.

Varðandi meðferð persónuupplýsinga í vísindagrunni þá eru þær alfarið í höndum gagnagrunnsstjóra Hjartaverndar (sem nú er Ingólfur Þór Ágústsson verkfræðingur) sem ber ábyrgð á og stýrir aðgangi vísindamanna að vísindagrunninum. Um verklag og hans skyldur er ítarlega fjallað í öryggishandbók Hjartaverndar. [...]

Við teljum að samkvæmt 3 tl. 5. gr. reglna nr. 299/2001 og 2. mgr. 7. gr. reglna nr. 918/ 2001 falli einungis starf gagnagrunnsstjóra undir ofangreindar reglur og að lýsing á starfi hans og skyldum í öryggishandbók Hjartaverndar uppfylli þær að fullu enda ekki gerð sérstök athugasemd um það af hálfu úttektaraðila í skýrslu Svönu Helenar Björnsdóttur."


IV.
Niðurstaða


1.

Lög nr. 77/2000 fjalla um vinnslu persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með persónuupplýsingum átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Eru lífsýni því talin til persónuupplýsinga nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni, s.s. DNA. Lífsýni sem bera hins vegar með sér erfðaefni (DNA) teljast til persónuupplýsinga, þótt þau beri ekki með sér auðkenni s.s. nafn eða númer, enda geta þau eðli sínu samkvæmt ekki talist ópersónugreinanleg séu til staðar samanburðargögn sem gera unnt að rekja sýnin til tiltekinna einstaklinga.

Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með vinnslu átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af því leiðir að starfsemi lífsýnasafns sem felst í söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra telst til vinnslu persónuupplýsinga í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.


2.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000.

Við mat á því hvort sú vinnsla sem fram fer hjá lífsýnasafni Hjartaverndar uppfylli skilyrði framangreindra ákvæða og sé þar með lögmæt verður að líta til þess að um starfsemi lífsýnasafna fer samkvæmt lögum nr. 110/2000 um lífsýnasöfn. Gildissvið þeirra er skilgreint í 2. gr. Þar kemur fram að lögin gilda um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum. Þau gilda ekki um tímabundna vörslu lífsýna sem safnað er vegna þjónusturannsókna, meðferðar eða afmarkaðra vísindarannsókna, enda sé slíkum sýnum eytt þegar þjónustu, meðferð eða rannsókn lýkur. Í 2. tl. 9. gr. laga nr. 77/2000 kemur fram að vinnsla viðkvæmra persónuupplýsinga er heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Að því virtu að starfsemi umrædds lífsýnasafns byggir á lögum nr. 110/2000 og hefur fengið leyfi heilbrigðisráðherra, dags. 4. febrúar 2004, telst vinnslan falla undir skilyrði framangreinds töluliðar og vera lögmæt. Hafa ber í huga að einstök ákvæði lífsýnalaga takmarka heimildir lífsýnasafna til vinnslu persónuupplýsinga sem ella kynni að vera heimil samkvæmt ákvæðum laga nr. 77/2000. Hins vegar varðar úttekt Persónuverndar nú aðeins þá vinnslu sem fellur undir gildissvið laga nr. 110/2000, s.s. hvort að fullnægt sé kröfum þeirra um öryggisráðstafanir, en ekki aðra vinnslu á vegum Hjartaverndar, þ. á m. vegna afmarkaðra vísindarannsókna. Að því er varðar mat á því hvort vinnslan uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 má einkum líta til 1. tl. um samþykki hins skráða, en fyrir liggur að þeirra lífsýna sem varðveitt eru í safninu hefur verið aflað á grundvelli upplýsts samþykkis.


3.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Samkvæmt 8. tl. 5. gr. þeirra er það gert að skilyrði fyrir veitingu leyfis til reksturs lífsýnasafns "að öryggismat og öryggisráðstafanir við söfnun og meðferð lífsýna séu í samræmi við reglur sem Persónuvernd setur um öryggi persónuupplýsinga í lífsýnasöfnum". Með stoð í þessu ákvæði hefur Persónuvernd sett reglur nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Við framkvæmd úttektarinnar var sérstaklega tekið mið af kröfum umræddra reglna, enda mynda þær sérstakan réttargrundvöll fyrir öryggisúttektir á lífsýnasöfnum.


4.

Með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000, um lífsýnasöfn, hefur Persónuvernd, með aðstoð sérfræðings, látið framkvæma athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá lífsýnasafni Hjartaverndar. Hefur Persónuvernd komist að eftirfarandi niðurstöðu varðandi öryggi persónuupplýsinga í lífsýnasafni Hjartaverndar.

4.1. Skrifleg gögn um öryggi persónuupplýsinga í lífsýnasafni Hjartaverndar
Eins og fyrr greinir fór úttektin fram á grundvelli skriflegra gagna sem Hjartavernd lagði fram, þ.e. fyrst og fremst öryggishandbók samtakanna sem hefur að geyma bæði öryggisstefnu og áhættumat. Er það mat sérfræðingsins að umrædd gögn séu að flestu leyti fullnægjandi, sbr. þó eftirfarandi athugasemdir hans.

Varðandi öryggisstefnu Hjartaverndar er fundið að því að markmið hennar megi vera skýrari, auk þess sem hún hafi ekki verið formlega staðfest með dagsetningu og undirritun stjórnenda.

Í 1. tl. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til sinnar eigin vinnslu. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinganna taki mið af þeim þáttum sem ábyrgðaraðili telur einkenna vinnsluna, s.s. hvort það sé aðgengileiki, áreiðanleiki eða öryggi viðkomandi persónuupplýsinga sem varði mestu. Persónuvernd tekur undir þá skoðun sérfræðingsins að markmið öryggisstefnunnar mættu vera skýrari í ljósi þessa. Þar sem öryggisstefna lýsir afstöðu æðstu stjórnanda ábyrgðaraðila til öryggismála og skuldbindingu þeirra við hana telur Persónuvernd mikilvægt að hún hljóti formlega staðfestingu með dagsetningu og undirritun stjórnenda Hjartaverndar.

Þá er gerð athugasemd varðandi áhættumatið þess efnis að ekki komi fram hvort stjórnendur Hjartaverndar hafa samþykkt hvað sé ásættanleg áhætta fyrir hverja eign.

Í 2. tl. 3. gr. reglna 299/2001 er að finna reglur fyrir ábyrgðaraðila persónuupplýsinga um hvernig skuli standa að gerð áhættumats. Fjallað er um lýsingu á öryggisráðstöfunum í 3. tl. ákvæðisins en þar segir: "Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna." Er eðlilegt að lýsing á ásættanlegri áhættu sé hluti af sjálfu áhættumatinu. Telja verður að ekki fáist að fullu raunsönn mynd af alvarleika þeirrar hættu sem steðja kann að persónuupplýsingum, nema að jafnframt komi fram hver afstaða ábyrgðaraðilans er til þess hvort að hún sé ásættanleg eður ei. Má því fallast á þá skoðun sérfræðingsins að áhættumatið sé ábótavant að þessu leyti.

Telur Persónuvernd rétt að við næstu endurskoðun öryggishandbókar verði umrædd skjöl, þ.e. öryggisstefna og áhættumat Hjartaverndar, lagfærð til samræmis við framangreind sjónarmið Persónuverndar. Hins vegar telur Persónuvernd að fyrrnefndir annmarkar gefi ekki tilefni til sérstakra fyrirmæla stofnunarinnar um úrbætur þar að lútandi, einkum í ljósi þess hversu öryggishandbókin er að öðru leyti góð.


4.2. Flokkun eigna og stýring þeirra
Samkvæmt skýrslu sérfræðingsins telur hann að skráning upplýsingaeigna í öryggishandbók sé ófullnægjandi.

Flokkun og skráning upplýsingaeigna er í reynd forsenda þess að ábyrgðaraðila sé unnt að framkvæma áhættumat. Eðli málsins samkvæmt geta hættur sem persónuupplýsingum eru búnar verið breytilegar og mismunandi alvarlegar eftir því hvert efni upplýsinganna er og á hvaða formi þær eru geymdar. Eftir því sem gerð er ítarlegri greining á upplýsingaeignum þeim mun áreiðanlegra verður áhættumatið. Þegar litið er til reglna nr. 299/2001 er á hinn bóginn ekki unnt að gera kröfu til þess að Hjartavernd tilgreini með nákvæmari hætti upplýsingaeignir sínar en gert er í öryggishandbókinni.

Samkvæmt framangreindu er það álit Persónuverndar að flokkun og skráning upplýsingaeigna í öryggishandbók Hjartaverndar fullnægi að þessu leyti kröfum reglna nr. 299/2001, varðandi gerð áhættumats.

4.3. Starfsmenn og öryggi
Í skýrslu sérfræðingsins segir að við framkvæmd vettvangsskoðunarinnar hafi ekki komið fram hvort starfslýsingar eru til fyrir alla starfsmenn eða hvort sérstaklega er getið um ábyrgð á upplýsingaöryggi í þeim. Þá segir einnig að leiðbeiningar skorti fyrir starfsmenn í öryggishandbók um viðbrögð við öryggisógnum og öryggisbrotum.

Í 3. tl. 5. gr. reglna nr. 299/2001 segir að gera skuli eftirfarandi öryggisráðstafanir varðandi starfsmannamál, sbr. og 2. mgr. 7. gr. reglna nr. 918/2001: "Skilgreina með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum."

Telja verður það mikilvæga og eðlilega öryggisráðstöfun að starfsmönnum ábyrgðaraðila, sem í störfum sínum vinna með persónuupplýsingar, sé ljóst hvert hlutverk þeirra er varðandi meðferð og öryggi persónuupplýsinganna og að þeir séu jafnframt meðvitaðir um ábyrgð sína í þeim efnum. Þá er það forsenda fyrir því að hægt sé að viðhafa aðgangsstýringu að persónuupplýsingum að fyrir liggi skilgreining á starfsskyldum og ábyrgð starfsmanna ábyrgðaraðilans hvað þetta varðar.

Fram kemur í bréfi Hjartaverndar, dags. 15. júlí 2004, að starfslýsingar séu til fyrir alla starfsmenn samtakanna og að sérstaklega sé getið um trúnað þeirra varðandi meðferð persónuupplýsinga í störfum sínum. Hins vegar sé meðferð persónuupplýsinga í vísindagagnagrunni alfarið á ábyrgð gagnagrunnstjóra Hjartaverndar og stýri hann aðgangi annarra að grunninum. Um verklag og starfsskyldur hans sé ítarlega fjallað í öryggishandbók. Í ljósi skýringa Hjartaverndar getur Persónuvernd fallist á það með samtökunum að umrætt fyrirkomulag fái samrýmst ákvæðum 3. tl. 5. gr. reglna nr. 299/2001 og 2. mgr. 7. gr. reglna nr. 918/2001.

Varðandi hið síðara atriði sem fram kemur skýrslu sérfræðingsins í kaflanum um starfsmenn og öryggi, þ.e. að leiðbeiningar skorti fyrir starfsmenn í öryggishandbók um viðbrögð við öryggisógnum og öryggisbrotum, verður að horfa til þess að samkvæmt 6. tl. 5. gr. reglna nr. 918/2001, sbr. og 3. mgr. 7. gr. þeirra, skal í skriflegri lýsingu á stjórnun öryggismála lífsýnasafns eftirfarandi koma fram: "Hvaða leiðbeiningar starfsmenn hafi fengið um viðbrögð við öryggisógnun og öryggisbrotum."

Hins vegar verður að taka tilliti til athugasemda Hjartaverndar í þessu sambandi, sbr. fyrrgreint bréf samtakanna dags. 28. maí 2004. Í athugasemdunum kemur fram að við starfsþjálfun starfsmanna Hjartaverndar fái þeir leiðbeiningar um viðbrögð við öryggisógnun og öryggisbrotum. Þá sé fjallað um það öryggishandbókinni í hverjum kafla fyrir sig hvaða viðbrögð skuli viðhafa varðandi hinar ýmsu hættur.

Þó svo að vissulega væri til bóta að veita starfsmönnum almennar leiðbeiningar um viðbrögð við öryggisógnum og öryggisbrotum í sérstökum kafla telur Persónuvernd að sú leið sem farin er í öryggishandbók Hjartaverndar, þ.e. að fjalla um viðbrögð við tilteknum hættum í hverjum kafla fyrir sig, standist fyllilega kröfur fyrrgreindra ákvæða í reglum nr. 918/2001. Er þá horft til þess að öryggishandbók Hjartaverndar er starfsmönnum aðgengileg og skulu þeir hafa kynnt sér efni hennar.

4.4. Stjórnun rekstrarsamfellu
Í skýrslu sérfræðingsins er gerð athugasemd varðandi það að ekki skuli hafa verið settar fram formlegar áætlanir um hvernig tryggja eigi rekstur Hjartaverndar ef áföll verða.

Í 2. mgr. 6. gr. reglna nr. 918/2001 eru gerðar strangar kröfur til rekstaraðila lífsýnasafns um að hann viðhafi sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og persónuvernd skaðist. Þótt ekki hafi verið sett fram formleg og heildstæð áætlun um hvernig tryggja eigi rekstur Hjartaverndar, ef áföll verða, er í öryggishandbókinni gerð ítarleg grein fyrir ráðstöfunum sem tryggja eiga ytra öryggi lífsýnasafnsins. Hafa þessar ráðstafanir m.a. að geyma fyrirmæli um það hvernig skuli brugðist við áföllum í rekstri, s.s. vegna tjóns vegna eldsvoða, vatns, raka og hita, rafmagnsleysis og skemmdarverka. Verður að telja að þessar ráðstafanir feli í sér fullnægjandi áætlun af hálfu Hjartaverndar um hvernig tryggja eigi órofinn rekstur og persónuvernd, ef áföll verða, sbr. 2. mgr. 6. gr. reglna nr. 918/2001.

4.5. Öryggi persónuupplýsinga við förgun
Samkvæmt 2. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga telst eyðing persónuupplýsinga til vinnslu persónuupplýsinga, sbr. athugsemdir við umrætt ákvæði í greinargerð sem fylgdi frumvarpi því sem varð að fyrrgreindum lögum.

Nauðsynlegt er að ráðstafanir sem ábyrgðaraðili viðhefur til að tryggja öryggi persónuupplýsinga nái til vinnslu þeirra í heild, þ.e. frá því að þær eru fyrst skráðar og þangað til þeim er hugsanlega eytt. Í ljósi þessa er mikilvægt að í skriflegum gögnum Hjartaverndar um öryggi persónuupplýsinga komi fram afstaða samtakanna til þess hvort að sérstakar hættur geti steðjað að persónuupplýsingum við eyðingu og þá hvernig skuli brugðist við þeim.

Í ljósi þess sem fram kemur í bréfi Hjartaverndar, dags. 28. maí sl., um að unnið sé að gerð reglna um förgun persónuupplýsinga, telur Persónuvernd að ekki sé tilefni til þess að beina sérstökum fyrirmælum til Hjartaverndar um úrbætur þar að lútandi. Væntir stofnunin þess að vinnu við gerð umræddra reglna verði lokið fyrir næstu endurskoðun öryggishandbókarinnar.


5.

Með tilliti til alls framangreinds er því niðurstaða Persónuverndar sú að öryggiskerfi lífsýnasafns Hjartaverndar hafi staðist þá prófun sem fram fór með úttekt stofnunarinnar á því.

Var efnið hjálplegt? Nei